Key management with tests
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:
https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diff
I will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Thu, Dec 31, 2020 at 11:50:47PM -0500, Bruce Momjian wrote:
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diffI will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.
I am getting regression test errors using OpenSSL 1.1.1d 10 Sep 2019
with zero-length input data (no -p), while Stephen is able for those
tests to pass. This needs more research, plus I think higher-level
tests.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Fri, Jan 1, 2021 at 01:07:50AM -0500, Bruce Momjian wrote:
On Thu, Dec 31, 2020 at 11:50:47PM -0500, Bruce Momjian wrote:
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diffI will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.I am getting regression test errors using OpenSSL 1.1.1d 10 Sep 2019
with zero-length input data (no -p), while Stephen is able for those
tests to pass. This needs more research, plus I think higher-level
tests.
I have found the cause of the failure, which I added as a C comment:
/*
* OpenSSL 1.1.1d and earlier crashes on some zero-length plaintext
* and ciphertext strings. It crashes on an encryption call to
* EVP_EncryptFinal_ex(() in GCM mode of zero-length strings if
* plaintext is NULL, even though plaintext_len is zero. Setting
* plaintext to non-NULL allows it to work. In KW/KWP mode,
* zero-length strings fail if plaintext_len = 0 and plaintext is
* non-NULL (the opposite). OpenSSL 1.1.1e+ is fine with all options.
*/
else if (cipher == PG_CIPHER_AES_GCM)
{
plaintext_len = 0;
plaintext = pg_malloc0(1);
}
All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)
My next step is to add the high-level tests.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On 2021-Jan-07, Bruce Momjian wrote:
All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)
So the tests are about 95% of the patch ... do we really need that many
tests?
--
�lvaro Herrera
On Thu, Jan 7, 2021 at 04:08:49PM -0300, �lvaro Herrera wrote:
On 2021-Jan-07, Bruce Momjian wrote:
All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)So the tests are about 95% of the patch ... do we really need that many
tests?
No, I don't think so. Stephen imported the entire NIST test suite. It
was so comperhensive, it detected several OpenSSL bugs for zero-length
strings, which I already reported, but we would never be encrypting
zero-length strings, so there wasn't a lot of value to it.
Anyway, I think we need to figure out how to trim. The first part would
be to figure out whether we need 128 _and_ 256-bit tests, and then see
what items are really useful. Stephen, do you have any ideas on that?
We currently have 10296 tests, and I think we could get away with 100.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Thu, Jan 7, 2021 at 10:02:14AM -0500, Bruce Momjian wrote:
My next step is to add the high-level tests.
Here is the high-level script, and the log output. I used the
pg_upgrade test.sh as a model.
It uses "CFE DEBUG" lines that are already in the code to compare the
initdb encryption with the other initdb decryption and pg_ctl
decryption. It was easier than I thought.
What it does not do is to test the file descriptor passing from
/dev/tty, or the sample scripts. This seems acceptable to me since I
test them and they rarely change.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Jan 7, 2021 at 04:08:49PM -0300, Álvaro Herrera wrote:
On 2021-Jan-07, Bruce Momjian wrote:
All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)So the tests are about 95% of the patch ... do we really need that many
tests?No, I don't think so. Stephen imported the entire NIST test suite. It
was so comperhensive, it detected several OpenSSL bugs for zero-length
strings, which I already reported, but we would never be encrypting
zero-length strings, so there wasn't a lot of value to it.
I ran the entire test suite locally to ensure everything worked, but I
didn't actually include all of it in the PR which you merged- I had
already reduced it quite a bit by removing all 'additional
authenticated data' test cases (which the tests will automatically skip
and which we haven't implemented support for in the common library
wrappers) and by removing the 192-bit cases. This reduced the overall
test set by about 2/3rd's or so, as I recall.
Anyway, I think we need to figure out how to trim. The first part would
be to figure out whether we need 128 _and_ 256-bit tests, and then see
what items are really useful. Stephen, do you have any ideas on that?
We currently have 10296 tests, and I think we could get away with 100.
Yeah, it's probably still too much, but I don't have any particularly
justifiable suggestions as to exactly what we should remove or what we
should keep.
Perhaps it'd make sense to try and cover the cases that are more likely
to be issues between our wrapper functions and OpenSSL, and not stress
too much about constantly testing cases that should really be up to
OpenSSL. As such, I'd propose:
- Add back in some 192-bit tests, so we cover all three bit lengths.
- Add back in some additional authenticated test cases, just to make
sure that, until/unless we implement support, the test code properly
skips over those.
- Keep tests for various length plaintext/ciphertext (including 0-byte
cases, so we make sure those work, since they really should).
- Keep at least one test for each length of tag that's included in the
test suite.
I'm not sure how many tests we'd end up with from that, but my swag /
gut feeling is that it'd probably be on the order of 100ish and a small
enough set that it won't dwarf the rest of the patch.
Would be nice if we had a way for some buildfarm animal or something to
pull in the entire suite and test it, imv.. If anyone wants to
volunteer, I'd be happy to explain how to make that happen (it's not
hard though- download/unzip the files, drop them in the directory,
update the test script to add all the files into the array).
Thanks,
Stephen
Greetings Bruce,
* Bruce Momjian (bruce@momjian.us) wrote:
On Fri, Jan 1, 2021 at 01:07:50AM -0500, Bruce Momjian wrote:
On Thu, Dec 31, 2020 at 11:50:47PM -0500, Bruce Momjian wrote:
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diffI will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.I am getting regression test errors using OpenSSL 1.1.1d 10 Sep 2019
with zero-length input data (no -p), while Stephen is able for those
tests to pass. This needs more research, plus I think higher-level
tests.I have found the cause of the failure, which I added as a C comment:
/*
* OpenSSL 1.1.1d and earlier crashes on some zero-length plaintext
* and ciphertext strings. It crashes on an encryption call to
* EVP_EncryptFinal_ex(() in GCM mode of zero-length strings if
* plaintext is NULL, even though plaintext_len is zero. Setting
* plaintext to non-NULL allows it to work. In KW/KWP mode,
* zero-length strings fail if plaintext_len = 0 and plaintext is
* non-NULL (the opposite). OpenSSL 1.1.1e+ is fine with all options.
*/
else if (cipher == PG_CIPHER_AES_GCM)
{
plaintext_len = 0;
plaintext = pg_malloc0(1);
}All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)
Thanks a lot for working on this and figuring out what the issue was and
fixing it! That's great that we got all those cases passing for you
too.
Thanks again,
Stephen
On Fri, Jan 8, 2021 at 03:33:44PM -0500, Stephen Frost wrote:
No, I don't think so. Stephen imported the entire NIST test suite. It
was so comperhensive, it detected several OpenSSL bugs for zero-length
strings, which I already reported, but we would never be encrypting
zero-length strings, so there wasn't a lot of value to it.I ran the entire test suite locally to ensure everything worked, but I
didn't actually include all of it in the PR which you merged- I had
already reduced it quite a bit by removing all 'additional
authenticated data' test cases (which the tests will automatically skip
and which we haven't implemented support for in the common library
wrappers) and by removing the 192-bit cases. This reduced the overall
test set by about 2/3rd's or so, as I recall.
Wow, so that was reduced!
Anyway, I think we need to figure out how to trim. The first part would
be to figure out whether we need 128 _and_ 256-bit tests, and then see
what items are really useful. Stephen, do you have any ideas on that?
We currently have 10296 tests, and I think we could get away with 100.Yeah, it's probably still too much, but I don't have any particularly
justifiable suggestions as to exactly what we should remove or what we
should keep.Perhaps it'd make sense to try and cover the cases that are more likely
to be issues between our wrapper functions and OpenSSL, and not stress
too much about constantly testing cases that should really be up to
OpenSSL. As such, I'd propose:- Add back in some 192-bit tests, so we cover all three bit lengths.
- Add back in some additional authenticated test cases, just to make
sure that, until/unless we implement support, the test code properly
skips over those.
- Keep tests for various length plaintext/ciphertext (including 0-byte
cases, so we make sure those work, since they really should).
- Keep at least one test for each length of tag that's included in the
test suite.
Makes sense. I did a simplistic trim-down to 90 tests but it still was
40% of the patch; attached. The hex strings are very long.
I'm not sure how many tests we'd end up with from that, but my swag /
gut feeling is that it'd probably be on the order of 100ish and a small
enough set that it won't dwarf the rest of the patch.Would be nice if we had a way for some buildfarm animal or something to
pull in the entire suite and test it, imv.. If anyone wants to
volunteer, I'd be happy to explain how to make that happen (it's not
hard though- download/unzip the files, drop them in the directory,
update the test script to add all the files into the array).
Yes, do we have a place to store more comprehensive tests outside of our
git tree? Has this been done before?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
cryptotest.tgzapplication/x-gtar-compressedDownload
�����_���]�v;v���~E9���� ��@�G�H�m�j�� H.�:�
IFw���u�}���U��$����J�k��y�{-~�99��z�/�x�?�_��_���W��� ���W�����{,��������Zx�?�Ok5F�� ��s����o�Y~���9����������_��?�� ��������_��o�� ��������������?�����r����O�����k�������[�o�r��_��O����?�_�_����3~���������������?���������}�oc����Q��M!������o���?�?������ ~�������B������ ��������c� �d�� �����7��G�����_�'������
�z�
q>9�6r��}e�'����+�<�~Fj)���w��
a�6�s�.��y�������i-��5���|�w�|v�e��~���o���o=�����������9�b%�z��g��Z!����1����yy�r�'��vY1���������rr�<�s��Bm�?a���l
m|�)+��j\�9�<q����y���u�-���X��G�(��<�$6�(�[%�1*���{�3w�%��<���}�w���j��� ����g�o���ZjxOg
��������0{|�o�7�����<�o��O�������:�w��o���h�
��������^,�yF
��(_�%�������w~=�5j��S{;������z��������X���;��/s��t>o��URx��'��n���Q�5K������W��e���s7��{w��W�^#���/��r�k0�u�Z;���Km>�r(N'��:�����4y��>"%��6��r����q���y�7jj�a!?�N��:C���-~����U��|�cx�g1��j�5�7��c�� �a���+?VIz���k���y��; �n9�����m�2�3v8%�0c��&w/�}vde�}�����d��>Z���w��U��
'�����������K�l��gn _�x����o����b����o�Z
��`�&�t|��e��o�%�� ���OJ�����>�}�������/��L��0���WG*��|��Q}��XA ���vM�k��Q�R����� &;����;~���[Y k~%�)�,�SX
i��W)y�
_"����|d�M�d������d�V��e��S
��������V9Oa}�����v�zs� F�|x,�����g�%��"`
�����7�TtfY�DN~�����x�����;����c���t��W�k�#�A�����v��k�WI���C*��~?�����g�T&�;
b;�=,�E�yf����%����*y~������!�Q�7 ��l�R��sZ��J��$B�d����<�y��#�'F�)a�������O,�����Y�,���Y�0��c����`�����x��
��0Y���)���H ����q�}�u�B��"�9}��3XE,���h�>u��!�UF��� ���\�I��Ur/u�-x����=��L�$�b���J��
��~u0K�/����M&�?dTJ%
�D�k����y����Y��oF|���� Ie�5���,ubW��U�>
8?�W�<���o���a��";#�F$�O�����L�0��_R�����
��Og���S`��B
D
�������3+[��
�E;5��>
a�t"_�Va$W �,���L���+a����lo}�~�
������)��\�M<��O,|������`�%����&&���v�;;�`�I4���%gLbl`C�h���K��43����c���1Wc
V����q�Bj�$�'���������Zu���&�W2���,�����KNe��gt�Ig��������@<�W�W~�����X����>���N�Y���s�����d�@��e
��I���LH6ba��l���c�@�,jz�h�q��O"
1�3M0O�p
{�c���7����:;��D��H)��?���gX�6��:�����|�|s0~�9��������:?�d��W��_�J.���&"�4�`�e#ib�/@�Y/?S���A�j$�x�'���;��&��N�e�y��kb�����f$>����#�l���`$�g~
�
�W@�T������>b
�Li* la�&��t�8i�����!%d��m�B���WR��H�;��\���)�0��� �
���"���HP-`O��K��o�[`�K���� fn�W����]=����&��cW�$[�kB�^'�������w_a��x"��>�0>����2/���8�����os�2?CF�6h���+
��@^ �b`>�[�B���@p�����f�+�Y���fLp�����R����0�`���������k�����R�9}!�
��������"�
3����Y(|���A��vP[��I�Dz�F�MAL��*2��O�zl��
�r�O�����S��#8;G,u����\���� ���l(�j��=�P,�>�9 ����K4HD�Y����L&(�����7�"��lL�$X�f���::����
�&���=db(�����[E06�L$����"�1
���l��O`���f�p��G�~��������)Y����c(<�9�S�?��>^��
5}���l�Z�T h[;h
����� �Gbf���hA�#;
x ����m
^ �! 4�?H��IX�9��@o��V���
&@6�(
q��_����X�@����w�9a������CXb�����b�r]�� �c0���I�P���Do���gAu�V���
�;��:���~�����sf[A����'�mP��?x�9 rH�vj�d\��B"��
@3K56�� A,{��0�y�V�,�d�Zx�� �����{�� ����VQ|��<�Y/����j(/�A�������q�� �
����wy�� ���4�BJ!V��*�?W ����Q���U���z�$� �&5��Q
����J!����=c`�Ww{���i��`z�f�c��@�
We
���!��Fh��N�#?K�M�O!�wC��vg�
0��e�}��I��E�� VD�$�&�{yuf��+6i���`L�~Y��!����
��L�����E�<���e������D~cN��`�����XN�=�����@G/�<lz�7 IA(
I�XMhe��E@":W H��'�
��X���*�y�6�D�u<�`��h^��u�D9`Z=P�
�b��y����
�K�4�3����p���
���Y�/Gb�2T�<,���+<�1�p�O�
�#c�� �I1
0�
$s���
&��!���
�Nb��3pFx$K�&a%D�Z`��L�����P�'��A,P�%
nE �����%��$#A :����b(�,��.���� \�� <� '&��d� ��#�cb>~�K<4� `��z�V�
D�x���21J���9Hu�
����^ 2ld8
�ab� )r2����y~��M8*b��$�
�<N���'��W��k
?� ��0 ���x�}������y�����x*���sb``X`�
?
�\��'V$�'�L���B����c����/gb���\�����D&��
��'�"������ b������P��&z�,�����l:��
���$��`��^�z��C
Ag��B�s(��D����8�1.�� 2I}'�c2gyC)e�/����evX~�9���<���R�@�
�@~�����S%�0A�<4����@:F������� ��%��
�$��������� X)�;�WF1&�?l�(������Y�p:C6����������`L��~w�T��#U�X&��Hl�A���r�<�E��|09(��f�Q�(��
��7��9��J
O-�����s�
ng$���e������� ����k�g"�'�$���Y��
�a�N��w������'�w�?�.��3C�
�{xV9`�DL�zy��g6���A g�N��D�����
���2�m��&\O�L�P���
B""�J:)M�H��G��=�ad_�3��������!oM����,������J�����������@����������i���Ww�K!�e��
D�&#��\�a� , b�!B}�W�����=��2a�9�'/&��� 3#�:�-�� �=�:�'�������F(;i9�P�9ah�B'����-�_�@�D��=�g�
������
�~,��x��N��B��!��g"��8a����1�M�|*���������D���������y�����0%P-h�0&$�3E���d������Ct�l�\���y�V��wy�$B���U��|'�P����w��j�9�G�g�
�;`��=��f0k�/��&�S��
vf��M�����z,���hI
��C�U<��u�� 0��5?�5�l
�Lr$
�'CZ�5�����_�����X��x���3�������
��
(�*����%�����B
����K��Yf�Rm��
�`�&`�|
�x��F+�o5�����w@��
+xW�8x����z�8�-�8���N���B��g�=�y`��5��>�D��
+O���9��Z��A�/}��=� �yw
��!�h�'�d�C X�� �,�y��y�����������6s�!��nl�����0>6 9�`i
�@9a�����o������n?�y��f�t�8���e�!�j�
P*$��YX/AT
�$L�:/P�/�K�������Nfn�o�s�L��_�����H��g���O������� �'��8��� O��T~�����?���/�������o<9`���
@��6�B���V�����|���k ����T(S�l�H2>@R�y����HN�f}������@%d��!�
��M
�D�<"����#�o#���c�_K&���4�k��z��'�T! @��I{���>`�I�����`�{ ^��8@���$����������\I<`�I�����+�H�e3s���<���=&�BA�� I|Mt� YP
�����v24hy�a�1��>��[�vb
y|O@�/����_
�2od�~�K~N�
��E���
�8��w/ZO������S �R���w��4<��q�� �Y�����@���D@u{A
����g�PN���������������V��m�f.�y \���w��
K"�[?�U#)
f6���+�/~/�!�w��J��`+5M�ke"�c!
�)B�-AyB��!L��M�<BB�{��m�I��n�*�
���['�rC��qz�=�����,�?�V�����<�f��S;Kf�(
������b���:�;�_����2��Pa���cp9����
�l�c�����\
���
������- >qy�yF�_^bO�����W])�@��
:�z@2Y��s-�<O�Q�o��d� ����Y��13-�#���=���I[9��
K�����[o��������eF=�g1������'����=/����x��x1v�-@@�7����B�=���aN!���x��F�y���� �������P&��
�'m�z
�
�F�=p�
��
��Y\i&0�����d��~{Y��Y ��_����'��W��
)�
������ �Tk��a,3�RwHm�����-�=6�v[8T~���x�e���YS1E��+��Mt���D.6b����II
hD&����>�S����"����m�}���a��zY���/��h�� ���C!T�"H �������}6Iz'�b��gi��Oc]Z7��3�0�C'������\ ��(����� ���@ ����rH�5-D�����4^[�t�d�)�z$�'���<�_�r�2o�-�w���
��x-\$�������i�����7�U��h�
�m{`�w��x�W2}
�)`�{|=�)3�S8h�)�Z���f�(�������vY��b�x�L2&Ac�'�:������&�j�I>|�fc�7a<��$Yw�" p����{�)�4���D��N&OFk<X��
���
;r�"k`�o��R�
�����,YP��l=��i1��.n��
�����[J����������8;�Q����������Z��;�
���+�~�
%�x!��@Vd�&j�w{��R_�������������� E��O��J2Dl�.�z� ��O��i�~2a�l�~�M���ke��R=+��
����g_�2����#@66����%�/��3���������9�T���$���g�l����M����&�66��>�3d6��������U������S����z,( N�
�d����!H��(���5��"�?�����"��%����*������
�)��<u'@�R#NX���3d���F
�x{1����U��k~���C���C1U��5�Nl��A�
��\OX���Z�y��,�
$!z����C�E���W��[����y�������92A8������av��@a�K����<�����r�HG� �Y�&�����NZ���Kv�?
O,�`���2z:�����
�E��c$�oPR1�3�K�*�d���s�������
��d�?���M��8����k�b(�..�} ����,��,8��*&����7�@��3h9�B����
b�H�,����.�
���+�2������y�N9��~�n�4 xnZ�c�)my�}"��
�'��7��=@e�g��.K��q�WWZ��
m@nj]B���U� ��1��@��W8
�yh��0FD�N
��C'2l��76�+2��9 _~L��:yXu��5
l�:!s%�*���{C�D�{5~�c�����R��R�fU�m���:)���rr���)Xg��_0I$�g���l� 321��g~�����\�Gc/�z��N�!k'���r<�~^�:)���cVxF�^>����������G2�>�L����~����-�����d7���<�f��F�D$��H�w�f���M6|H
��c%�����S?�_���7��?P�,��R#��������������#C"["�,�;D�����6t�.u
�eLdf&�2��ywCp!$�?����+���L�����X��k�RH0_
�X��n�t]���b-�c�g/<x���~gK��D��
�!WD�L�H_31���������FkX�8$2�8hM�������cd
W����`�/��F��1�`p%;�����
f�$�s/XY�>����r4�/x)�%N&�kl�Pr�C�����1�j-?~5�c/���~�(i��VE<��
z>�
s�.<���@j"����^��\�J��szoy�!����0pZ����N�^&3����d��[�i����u~����43�6������
Sb������k�A�q~��Ae,�����!s�OdHvY%�Y�� )
�
�g�0�
������dO����,r(�0�,�Q�S�{A�����`m
��:�=���YX�����c]����� 9��* ���e~�Y2� �������'�n�f�J�u���9l�
TK� �����x�|~V���� �;���w�z
�G�����n-c#U�jr������6����!��<�Z��,D`
�E�������y
O@Gx��������L=����x\���
��lg��y�<,� K
�Ef��9?[I����
8�M�����=L���l�����e?X�Q����xQC�������CO�l� ��:��@���*�Z���3�
�8b�d�D���}�"A�L�q�1����
� �@2�"<�`������7
s�2�����@�����"��-���|��
�hVc�h�#
��b��:
�t���:���pD��q`���5��TpR����5[~%>!d��r�����O�Dy�
�ijee���x��CN��-k�a�/�$Z �:��1���
b�
��U�Z��*RH���f��X������.��?��b9�����
�eD�
9n��e��l�6���������,6�
@B\�1~��X���&�{�Q����93�w���� ��4�R�Y��.�fy���T�?����j~'�1�0��C�X��E���t
��r�]��8�!�,d Zm��e���a]J�0��~&�$l�{��
���d����c����wV�
0����%�'�uS��7
����Z1�����g#X��<��r�5Td�t���K����$�LxB?L���9���������$F/x���E�_X������e�����gv�(S��A@�`@;6���F��;XY������O8�i�o��XL���u��7.&jx{���k���)B��'
7Z���o�� �������N
����m�
jNj�0B���v��v�d}�<N�!|� �*�a��y�9��%t?k�_Z+�KqX�d!A�a-=��k�����*g
d=P_@?)�=$�7��!%��H���P��+�6�%�_�Y�L���_����5��$�Z�h�����)��c�U��9�z��I��������m���� Ba7�M�G.i���-�j����\K��
[�1����b��'����rvHOd���
T@?m���4����a�D�R����#���z�x�����<V� TKC�P��
)�����<@��p�$�j��m9���c�{�'���0�e]�9*�*it�a�|n�e�����(,2�T��*zb�i��0��bv9�G��r����YP�
�����<|��:k��Y��W�o�Y��]x$%6�"�Y�� ��-
7C5�S�����l���lM�r)��x
RDvK��L�7)y���VdNmh�n�k�h
���9p�O��ac�es?�:��k�@v R�>|�7FM{ :��`������Jo<��4����p�@���v��5,m>���������V��p�1]�k�1`Q�48����������h���$ _o�������5���L�
��okR ��sN��C�?��2ice6�]j���]B��?/K��`>q�b�b#x�!f���m���`V�v��_{v��#
.�2��|�_]
Xc���Wz��o������_�z�/������?����?�W+" ��� ���������������������
��<�������)5,�a{dL�~O���?��+������P@((�H����[����}��2Nn
��
@�9A`X����
��y?����,�����J��c)0*��3%���~�#�7-�\��3��@��VX�������N������+X�Y<���sv
f`o�soW�jN&� ��^~l���m�M?2��x2�(������:�zl�
o�����]����������$��} �t���dP��� ��/��G�����<I5d�
�\ P��c�*0�
�SX���TF���k;kyBy^�?�n�N� �3���Q��_
v=0����2����`:�����0!9���3"�D������� T��
�$S[���#�F�&�� ,Y��{�F��'Q�����:��rL�y2�Y*�V����M�z�E�M�<����k�p��d�AK�'�
��{E�+hvyJ���!"[,���+=�������i>=]���
�����a��
Z�3��@�y���1�"+�6��0c���^��� 0s��
;�y23|��?������w���{�
t��[�;��I�(�b��a��f��<�
��[�-�]r�>����c{���\c�1�
���� (����J\ d���(.Y=��tW���
������g
��-��Q^����H���%�Ww�O���P���Jo>gk�w���e�a3X)t�,(�
F���5��A�������`�6�� ������
�B\�M��q������a����6+4 |c�)C�&4��b]uW�����
���}�?C�Rh��@E=< L_K
���J[��Z"Ub<��BG�����\�m���
��#��U�>�j�v���#N8�nU
��
���Y%�l<^��{)n�Q��v���m����O����z`]?���n�L|��
H*�3����J���
N�W�&�K����ZH 9�7 ��H$f��#��b����
����=�U/ �x,���=��N�z��.�#��1�%�����)�Fv��Hs�
�Bs2����c�O3^��`
+@�������\��x�����~���=��zY���y��f�>G�)H@d1l�s���l���?F5�g0��a�X����5"�0v�H??c�
q<�������<� n��J
��mN���7�i��W��+�{�M��K�|�5Y�;'�$5�����"��k����~Y6�x�����Y�
�hb�+�t6C
l�����`�)j0\[���"/O" �qE}~��W���kc ���(��Y��n����Yw: �a [�C
?
�
�b~c�o��N�)��)�]m=����\\@���yQ�����0��w���������|�0����
��B~��af_W.�!o�y���J�mi^�[_���B_a�M����b9��G,��W�����3��l��{JN�j1����?�]��BAS�)Mvk��N�2�)To�f{--������o�gv��t�2 <=D����r�$����d���#�L�!��7A���Q$$"\|:>B����*�����jW,�� �&��S]���PQ�Jc����������#�������Sy���$��'�Z Y��
n0��V��x�v{�����8lJ�^{�X�*���;�Rc���
Y��d��E���S���,����m
e��r+�L����D"�sn��`�A�� l�����
���5/;qY�=,�Rb�
�n��t���b"�u�,���_SzI�?V ��U0��6�-��q�u���b0���������2c1k,�����I�BBc���7�[����J�`i�ao���Cy���4������������G+��ce#���*�SU��������O6�l������7�P���y����13����m�i��^���9
�?���~��&�����w$������L�e�T�DCRK�DZ2v�w���;��,`���I*�
����!��!2���}����{ZN�
;����$`�I�j[����l�K�i�����rx`�G�wdr������-�����������w�����Vw�����=���Z��l
(mko�o�v�mvG�^���
� � ��UJo%
�wq��PYX��bI����$�W�'`�O�T]�Xk
���[�Zd���h��j\�G�%��
��q��q&` h���8u� �Y�@�W3���=T�������
<'���I�zdQT\�q��/u�� ���������e���M�
l�� ���ti2�
%;�����J4x����7i3la�R����
�$����`���
}�������}.5r#��Lj�����E=�8���
b�
�����p_���������,���KV*SJZ������
�[5J"[��W��K���6w��Yg�oS5� ���z�d������Y%�
{oZ����u����T��Tl,���Y�&�X��n�I"����z�7�G;"�U$e�����2��!a�<�%�@���t%���`��W���H&����_�<�p��29�
�{5N��
�$�*��s����
�|�� Z�|�SlB!_t���(���{�<`|�w�6e����
�Q���E��
���8�
�m� {!]�z�*��g7l�d;�������T�����>$�y��<��1�D�ms��N(�G�5D?u^�M�i=�~�T��q�h�d�LtY
��Y��
I��^|y���mm6�*�������-!7��@X�0~������y�7�;]�H��
��<
���^�+�!��0�Y$#+���lyil���0=0`��
O/~Y%��Q��� ��� �������A�f6���`�����^%��
}
��~��v��t/��S��
"4�'L��AoH���C#"�S
��OPi��x���m����"$��3����
�1�-k�<��|���D(��&�� \Z�p����#��]K�l/��L�fs�*g^%D?�r�0O�Bh?��{�
p5Rj�T�P�D'�� �Q�
�k��y6>���`�&�`m��`�(��rw+����H��K��^�+���K|��T��U��Wl'����3�>���G�"���G�Bv��4��4~p~��/����H��~�}/q��;�����"�'@�gyX#����
71��B����(�p=�3]M* �Q�6YR�y���� ���u�����x ��K�|�C!:N�>��d���l,jy�E�K�������h�aV��"@���~��X\��p�������7�kY���$2�����fw
��%H{�^���;>�����
ulB���%O���c�h�gU������&z��u��$_�
��D�Mt$�~���
_�����
���,�'�*
����
�f�t)��0`�<�NJ]����U��[�����_
\^�`H"?�?P���.�Q�L�+{l[q�?���
?�v��B�{i >��X�|�{��q�|+���S�����&���y��W� �� S^�������Z�j#
�LM
��q�����*t�g��3��_d�=�����+���18�
H��B���ly<������I���y�k�"
����^�s��l1:����-��[�
!�j�)L��( =�4��5K�9#OP�����������=6��/�O��
��X}�w� �2��$C��\
�8�����m9�
�=E�Ad�xL�B�Srf��;����}��"��v�T8
����c��J,��A�S������9j1�/���_:��($����`[���d���[��$��@c�i���)0
���
Q�
5��7 +��_[V�����5�X
��K:��.J3�l^���@� �����M'���o�����*hA,@��1
1w��h|6JkA���UK�
(� P��?�_�p��E��e]� �
�Q��HD-j�,���G�O�*R6��&H4� ����`����������#�g������"��1��I���-���
K�a���< ���]�!��v��x������|���U����E/��n2� �2"��Xc����I�*�u����c1�{[� � Y�n��
Rbf�X7]��C��
��\ ���(�Ia*
�?uY�5��C���U�7xV�����3��{
����=��O����n����{�k�c�O`�HA�HVi9����Oc
�.jeoi���X�,�����g��%_���S��hRAT
����M����
v�[E����f
�l���c��$�4��<3�m'%������T
V}�8�w�����@ qk|�-D
��s��v��n��G����o��B������W����^@����O�_*��=�?PE�`���_��sJ��r������y�pa����!wG��H)���~� ~�N������r���D8w$�����
^�"q����3d b�_�o8���KS[
`��B;��������,
f�n���7
�H%�";>a�H�������@>��j����z������}�� ��@
���� ��9������H���������v��), �
��~
��%o�����~<-y����9�38O~��xn����x�QY���i���Y����33�W��� L�P�Sh�
�jI~��i�����me5`@���u����H��_�������G�4�������?�'�����_R�?��/������U�����z����a@T
Pz��>�2�
\5o�~��g���C�~��
�����1�=V�A1pS���������p[�H������Y��m5�f� ?��A !�
3�H���<�:�0T�����H���j�[�j}d�u>Ul6(���M]��
,�4�&�����
���x���<
�5Y��'���� c��/����y�������M�#��Al��d{�j ����������[�5���������Y�Yo'��������09����.�04���[�r������h��� �|��X�U�^�����g��dM}���
hG���N?�����>(H����]�ndy������z
�,�rn���T���:8�m�@a ��2����x���^ ��5
���,^�y�0�2�`6���������J'�oK�Py(�
��I��w���L��v
�B8���v�W%2�"��3"S����U��v6 3c�_;�������B
����l4��8Q��5
��x�5��&������\5������k����/<C��(�aF��*��~��_f��
��
�2�'�I����l�0L@��{�[0�UO/0�cgX�M/w��<�?
�g�S�����v�4Fe���e����p e!~��G����������
�y�&�
�>���-e
^
��������Z��j>�#��m������
�������{�%~#~� ��QY.����q8������"sm_�5U
�N3d`C(���T��4��
,~����1��9�gK�f��������!hZ���U�L����o�X.^k�A3��N5^�DSQ����l�EAlQ|�
u��^���V��?�����Nv��
X������wC���jU���N
��y�2��"n>����5���q��O}���
�&��R����}j���������-��6�7�S��m
E��
���� ���q
�~9.�5@�������������o?�0�s���_0b:K��$KI ���X������L���ayb��feG�m6S���T��^U���k���~Q#0OWl�7-v�?X����������^��.���d�����`�(����f��3m��Z�����2!D,[T�0~����f�V�2�S�m�u��+�
�z�X~A�Ru����?�� lL��j5k {NM�4��d[D�YT-��������O�,�����3���y�->���n��Qz~��1�.A���b|&�;�Z��^;���
��i �%���
��H�^��Ib��c�#
.�
e��'
�8O�f��6�I
$�y�����gL��0~�6:�O���23D-���]�l�Yy��f�(�q<_P"���t
P%�-�%�������_-�.
o�B��T.��|�rO����#NuF��8�<Q_�/����;N_^Ts�}���8��ZV�[�����
�yx&�:j��@��w<�����H
�7e����x�Y������x�o4�1��mq�=����_�3," �V^q����e~�r
����������
@*:S��R�gj�4El�q�fe����31$��o2i
�� ���^�%���r�b�,����(��&��)5�5���;�
�O�n����
��~�������m���qj
���/�����~�����LP��E��6X(?q�"m�NX-�c�|:�ov��;y@
�I�z��(^;���9��u��Mb9oB���������S�2���p ��j��d��bR�?���!~���Zj�1T��f[������m_ �5/#��'�b+�}�����5P3���
�Q��}�_z�7��+��0�
J�mh�X��m�W#����Y��w��|���7�h�i!�
�`#�O�R��,>��w\��_���Hx�oV��
����i��
�����`�u��
�g�
{��� ��a��*y_������*4�����H��(���o�7�{YO7�z7={=���[�s
(7-�����gys'7�����[��E�����R+�~z�W�8���Z��L���6�d�I|�Z��X*�<���jn2�K�e�����z��4�(��-���
F��T]�F~��V�*8��
��^�
mM�b�S�� x���' �g���~�i���4
���-~���
-�,�+�F2P|�S���u��%�F�Ty�z{j�f��J?���'f~E_���+���J��m��������F� �%�"��yo?�Q��|���`��n�Rd
�����-�e�dN����5}��������
��
G��p���71b�y��WT��%&�o �W+B+�WW�@6j2�$
fo������R�i8�=
`�<UC�o�=�8KA�~n���>�[�E�&�o����U
�V��-aJ�o+X������>�X�da�E��X���A�~��;@u����|�NfP�f��jSD����z0:f��d���h���h��x?9�sf"������&��FLh#�f{��b�YU��(�.�"�f�9� \+S�u@���p���C<�J6�[$i
�
,X�T���%_*���2/7��,���Wx
�x��K�����W�
�k%���Z����_$/6� �E�����>Z��1�~��J�
��ve���������V���������a
�yP��
�3��s����
����>��K�[R��(�5
�~����
c
�+D�y�}���7�jNdI"H� �����i���5,cB�wp�V����Q���4���jgw�u0�}6%���O��l���~�Y�i��
�������z��HXv��Y�+i���D>~f4��� ��Y���� �;��OUt��BQtlMk3�U����&)����dGyW�gi~�,-;������1��^!�
�
�G������&`*���a�_�k���0,\I�
����H+��z�II��_��Z�]��?���
!��[Qs=;�|M&,a�!�6�k�i��
uD����n�ZF�2�]��E
�`�FfP�wk�G��V���j�"�X`?>�(��l����;�
�e����/lq%%��d����g��k}�2S ��k
�����
��s-��G��g������
�T��F�PoC�����S
E�u���R$�~��ue��w���Ud�"_]�4���Vl+�3-
���U�e�jcDP�����8�����(��0���)�=�]��$v[$�|d �d*����
�8h�f����!�2r�|��i�U����H���� NR���R�]owM��~
N��"f�Yn�!��������2��Y��-�#��jl�(?QvP�����*�
s�5g@���P�a
[T���0Iq
�!U&�o��d=/AX�,
�`.�I��yR��`O�G��r����n������67Zb���g�$z"�A\�
��c`��a�z�p��CR������N�l,7K|�N���rd�t8}����5�!��T k5�x[x�F\b�E?���v����N��������q�jA�����D�bMr-�
����x��#�� ��T_
��% �/~I����T���
��FR�Q[�Ou��T��y,J]�i��/�a���?P_E���������s���z���A"��2�SM�D�:s�+��Qh�N%�E�o����u2�,��/
�BQ��!�J�f;���Y3>k�d�]��s����j�>m�djcz�d�5�Q�a$�'��
5?��Y�5���������C���,����)H�j��=�2�����LFM�gp���{�o�!�����*�5���.�Nz�m6g�������X���<�A=����%�������L>�g�cS|����c�[���������_+���3��4��J��_�|��������!_o
5���%���ybmS9�mI�I
�>�/����V� ��RN���(��������j/�_��/)�f��������������Uy������6y�"K�Q �7��c$����{���~���f��Iko��uj�O:
%Nt~{D�6�$Mo*�%�2��F#Mv2�M����g���i2��&#z���'/x��6pZ����T����ds�q����
T����10*������<��uYU�U!yKh�(i�^A��%��4���a38�^/+����h��j��Z�SZ-���� �����:^���
�9:�{I�� @V��]Le�����;O�n3
%��<�)���c���+��������� ��R��Q\jeG� �X�6��4�xy�e�k��6�g
�O�_�[? !��
�5WL�d\��n����[�U#�����UKkU��t%�l=��;�<��_ �& �,���e�q�����@�`@d2�31��T�T��!!�%h
#L\�r�Kc��l�+^�lf����&���{}4
Pr���K+n|�D�y���d�E���Q
�������
�I������:�7���
0zC
0���Fe���������������!:*�R�����J}ne����e���Oii��k�(7y�sK�Q���ve
����_
s^���3�@��t��m�e�O�/h��������x��b
���� �?�����@���%�NkD�eI�`'U�?�B+��giHX���H����n0��ui+��Z�uTs<���Lp`F v��A���^���1���3v�Ah
h8zJd��T����h�k��}�o������t �v����h-����������k>
Q�'��u������Z����#�������u�^'���/�O.�H�D���'�����e���������#Z�f��Crx�� 6���c�,?
��� Q��
���~�Mc#e�>6��k#�qj��]'o��o`W�����[W=C��]�z������=�7�������T��/�?���
����k�����������������~��j�U����������'������o��y��o���� ��o)� �����Z�o�����=����U`���_�[������� K�9���
j+���Y��R����Z�����I�����A���>@�����Z��4��e]ZiY&C([z�u-�'�T��$���T���o�x�������Q���j�7����o�����?�'��?���O���'��[����g����?�� �g�e�1v
0�{����"�?��G��?�uT��y���+LB
J`���
�hi��Wz�-������8,/H��|5�v8������
��jnd�6-A�^���*f�G $������~8��U[/�����em�#���#�?=��a�������
��k�P� ��vRR��+�@6�
}]�8�L�Q�c��7�f������V������r���DY?2u"�*�6��Wt=d��d���|O_������R�+�H��R��8X�=3!�Ef��5�>+�G������!�+.0���
���a������K�{�p�.�(D���f7j�'d�+=a�x\:�����'O#�_(����Y)�����+��w9v#�p�T'),�1FQY�;^�>D�V�1!NO�&�c
�USV^��1w���C�
�lo�"���.�Z=��+���K�<nVEHkYhp�
I!�o�����/���l
�-�n
_�#/<��`��V�����B�����Q��M#��Dt���p?����L�Y-.�����E_�PU�{�,�V�B��UC��������F�0�'^eLmT��I
�+P��
��k�>���f��������c
�������u���
��C��E��8v;���s:
��7����<hLe1�J]��;m���y��<��?�5�Q�O����CA�������c `�{�/�Q0�%�U$�k3��-�Q<�����Ja���R����\�������^�y&
���.H ������3gz��W7[*B��Mw,����,T
{t�P4����
�X>����[�@Pw ��
��G�e��
�K�Z5��ra����)y��"#y���s��
k������S�
��*�`��� Q;���k�}KT�=���@�g ��H��<,[zCx��c��fA\-p%n-lU����]�Fv-��������T�����@�0����%��0Z����
z
C
<��pMo���F|=���������IO������
L��V2������]E�2``P�I���&y9��*s]U�)l��J7�FeUrE�=�^��';/��Q�NA�r���x����[�F9��=�8Gf5�M����X\o��O���u�c����d%�_�'�-�"�y��<��|��y������Z���J�!��x[H}TK�SI{J�'���3lH~-����$���x��g�[hB��d��0���1������ k���7�l��(
����+Y�V��s
����l��F�"��-����2w]c��(8.���^K�)H�#!S��@U��I������/��}��%�p�Z, ;����zA����T��<��y����6�$�5U(z�V���F�U�{����:���6����j������(3���}�W �3�!D�$�h���^9B��.ra�Eu��i��i{UeQ��J��~���n����tr`��Nb�A������v6}
���cb!>�o�u��=�j��^1����h=�F��AA��^������~�=_`+j�g+�
��x�
2�CJ`N���YI
�����;��R��|���\s�R���|KMu�dDk����d���]mZty�hx�|�c���8�]�����D��N�w�~wPSl��x��Ve��#,5�����1��S����G�������;�� ,a�����$����&CI��e5Db���J�����(<?
�<�/�5���mI%�o���\�}b�Z� �n=��w��T��~,�U���ze��Vf�ua!0fW���������
���u����H Bh[o����]���r�5��E�#���:��&ET=M�6.�U��k���m����Nx�]
��oy��B�<�e�B�� ,l=`X\�
F�b}��.�+��$�
z��P�P�JD����������<�e��i{��:��?���1e�����b�XG%L��"��.>����6�rg���/IHm���
� jfC8x���������bpB0y�h�}��
�IbE��,���9��������{��J�dn�������^5
@3�`��l�|�J]��G��flg9Y������=:�Y���2�Gw ���M��7�N� iW�jE�P�����0!����'\i���P�:oR������56#�F�0.e!�t��{ ���x
��-���ue��F���8��� �LVm�,��}��}_��D[d��]
2|�%u�
�+��
�&K#h~�1p�o�8�O�R�^!���1}����"�j9\�6��������G�Jk���R�Nb��% ���[��������j� ��(���\�\5�|�TX+d�<�L��h�UFW#*�� ����u"�|�pa
���U�O1�&t���Jb���/�/�>4`e�Z��L6�{���������l���s2���.1U�vzV��V<�
��x�p>�d�
_2�� g'i�i}�
;B�3I�ge��d\� s6�����F�"����z�R���e���=D����$��s�f(���XG��a�'L������?��;��������5�{�:��u��� ����1{���<�l/+"]��8���%��_�
V��]���PP���.A�U/z-m:b
[0��'�1�@0���|��8ZET��� ��%�J���7����GS��+:`��R� n#���M����*��5.H��Vb�bM�C�1!_S
r���j-k���%x}��:9���l�����c?��=�A� c����@f�F�
�v��5a���������"����-+�!��j���t��d
��<�M�����MW4�I
���>����p�
�3��SDe��oLG@J ���?��zl.aB;�����0��<���
�g�.5���W�
xo
��&��������>��<N�z(Z���������p
�o�������>R;BS�@�t���~v}Uu������2~r��}��
��K
�>
K��r�,}N���y�Zl��`�����u���{JS8t�M`E���D��
�
�0|�K��R!�<K�����d��L�'��u\��v�
����$������fL��r��\2,e�<XYC
���0vV��')/���[���Z��+���L-���.����]=b&�u�U��U�����U@5a��kuJ�' [HduWf$���^G���M��ul�B���D�,���lLj�z�]Iqk����v�������4���tIf�2�O�Tf�G�E$;*�H
=�� �B
���#�WUA+�^�e ��X���C�x������
��~�!he��*� T
lf����Z��4Ou��+�RYd��;��Wd�h2cc�y:���L���Ae��s$����8(���)���z�
�T�x)�8�s�����,��!��!g/[Qm��H?:ei
��2�Q*�I��{�p�U�5o�AT���
�h��� �bW4Tgr7)�U�
F�n���_�/E{^XQV&�`�
��z�&_��������T������T ���.�#�������gv�����z/�NQ0"0H��-=��
�J����4�dLs_`�^�������H�y^���B�v�[��3����2�
�w��5X~�(�j����=���� ��� sI\��'2T�`j��\�Iv O
��Sm��Vn��|k�X����L�^��Y'�xE����/�T=�b#w���������$��$�S�7)(c��U�-�6��Ih���wU�dj��!�OV��� ���K�(|��Ki����=m�B���`�j�����P�j����M:e{m������GY1�}^��7��LU��r����LE~���9�x�J�y[�:Iz,�d?sl��F��<m ����T�����G�@�W��}���
`>C���)6��tM�mZ��������m�Q�
��[QR�2�w���a�y#�RI�.fo�����T� ��_�5b]:����F� 2�<�R�+����:�x6��(�O��Qs9��^eU������������
�4�-�P
;aKx�"O}�
���/y�]��LX�^,A���@��% e6����.{|�o�.{� ��� 6�u-��j�H�5���T�������l�����kf����a���[a��Wu��={����c����l����?�i�����X?����#���[n;��k��Gf������A�I��p����R+��{��j~I'Y�Yy�"�&Qe�O�]�-z&����<Y���DS��85�|to�VdIF�{�3����`$�7�XM����
��H�H
[j]j*N>��^6h���QNy��+�Oy��8��Z�*y���� �}�o~[���
&�6�U0XI�Qu�)�T�5+
���k�4}� ��h�.�VW��@e�U�W�Ls����T%u{'4��+��M�N6�j�c]�����H^��*��������������w*oL�"�����
�;�7�|��
�`�{x���-�6�ZA�HPD}�nI������V'�A���V��#��!���������p� pP�Im���a�F��2KF]������B��p�����J���u|^� �
/8�
K�x3�],�N����r�_|��3��Ha\K�s�$���|]�
k�[�8t�T���k)u�^����fer�i1��������D���
��kAG��y����[�����.����������2��3�{� `�����Yv�v�X��acQ�JqQ�, �����AK�x�s�n����F�
f�S�at�'
ok�X3��$�X����E��+
*Q��]�Dc�R'���p3����
4�vM@&
B�cU|�$�?Z>������^$��whk���Jj)����PWRO
]`
��V I
�t
��&RO�<��t��)���\lT�������i��z�p
�����$����
��5����g
���O������5D?���D�H�z��G��:}�?=D��`[\$�@�]��0����&�v�4O��m���������zcm���=�7>�w&�z����������
,�N���S����gX�k��%{+]�V�����-�������)�v�y�=�6��8�����(��u�|=G�<f�<��`O�l� mU���@��V�*p�A�m1���x��%�{p`Y4��[5
��5Xs�����ZMZ����Q�Z��h���m�S���-������"�g`�������Y�3^��F}w���F����bR�fV�������[���j����3�m�h���gm�O�f��lx�x������������ ��{`.������;?VS�����% I<�
�n� �a��5i i3�.��
��H����w���X�����"�
�>��r���+���Z��I|�/
�oiL���0<�X,��b��X��U�d[���
����L U,^m��m�DQ������Q*��D���\���@��
����J���Z�J�:z���T�Z�_nY�pI�J��f���
����3���NE������qL��
����j��Y�`��a���8�Y��J���Jzl����-�g�_����V1/
�x?�V�
��c�g$)7������������C� �}7�x�D�s�Xy������7=�r�I�����P��~xt2��V����U��u2�U�n�� y*=�[�����b!��6�Z�m����
������
+ �7mQ)��[�A8-]Y�X<?�Y
��w�D�
��m��3!)�DJ��g����,�c�GV�*X����4�Vr�$��x�G�,n��b�r�A
g_���������J:��ZQ�Q����=?�@@Y�A�~*�����
�j;���%���R.
z������(!)V���K�L,GQ,�rv��G�k����B�
���fx�eh�?��K{Th����D�,�@^�#���8�-X�,�=�����s�l�mH�
%k�z[��n%��G�L�����������"1�P�.��Q(GA�V5;*t����(�~�_TD�����S�tw��
�4o����Sw!u�����f�
�
��<cy�d�\�W:vU�,,=b-�
�z,��}��U6#6Gx(�}�1��O���
�� fV���0^G�9�d W�R�!F����v�n� �=r<
�1���6�����Z�����t��fpJ$4�E���gGCy
���y�[v�����?p�,_�w9
�`� (�,/'1��V�0�$�{h%�Q+�WO�C�+V�trq�&�"�.�AzZ�vV�`��]�aBP��2��� *U�!�q���������������y4��|�l$9I�7XpS��MN�@�ut�$�^�i(������\;��&J3xM
?Y��O�#��0��!S���p����#������#�V�-������� ���R�6V�9m��)R��qG+������h5����{c��Vh�g��������PG��Z�A���JP(k{%3�dz�Y���*�ip�<����X������J)���i8�
���)x>�1��������)�
����GZ�|E�ru���ai�&����j��.=�
��Y�
�R������?
�2-�9���������j�=�acE�Z �>[�xB���
YMY
�nUS>�ze)�l������uX9�L��
���)^����
�$�>����fI<?��KD�M��
��@=���f�{8;��.:�<>^���z� ��A8?,���Y�`�'��e�xzBW�_+q���J��0�W
�h ������YaKv�FR:�k��� ���]=?����X5�R��v��+�E ��;C�����P��?_�G�� O��������f� ��������\V4#�� tE
Zg�d��.��K�8j�l5#t��`%
P����<��(S�I
���XZy+|���E]n����G�?� ��7���
89I5�]�0b�����&����
���Y����2���i�
,Q��yK���/�����fv?�(;l����
.~k*�����HVE�O{��������~#5���u����X [�5f���?����*��lEH �L���Y�
��
�}��
��Z�x�|<Z���t=i
��@/��QO
&��~k{���]������?d�'
0S�r}g{���_�
�>mX
��a��X�w�$��F�x������idj��H���������L����p��r�����.�d���Dtuoi�](�F��c�����a�~�k�u�:r�
���|��?L]���6�2�,���k���M��S�$���=R+p�����(����]��?zU){n��FEdE�|�c
����wW�Fd��6�vp���>��T;�p���vzM������/@�ku!<fh^��]o����i�*�j��j�q�}I
�OT�tGNV�nV.��5�c�����U
Q���/l
A������m�?d�
�
+��r&���
;�PX�
}�U����P�)]�*����= ���U�?)z����_�������s����q�8/
��'���p-#m���4�p�H�W~X�� ��D��,���4�)�sh�"�oz?�Y^�|~���
���g����t��
$,
���@�s(�4����
���&Q�U��{`�T)m=#}���d����za���d��]VT���<O� ����� �v�������_e�K�#�hj�� ��"
��_|
W<��}�����?���MH��"n��ML�����",��L�dV:����x��a<6��>?L�D6�3b�(����BPi�j��Z3�u�H�{�
0����� �X?<�[�Zv�����Y�DB+�X*g��q�����Sr��J�(s����
<1
�)�{g��g�Z5�^G������/��D�W"[���/�YH�C��
^
u�t:��9 j1��i�z�+�����������|F��<�������2��_����}Y�x�6���Z<!Q�������� ��v��
��A����0�X0
+��>���,�X�
��H-�[�b���lP�5��BU���|O��>G����*C&3Q���x��W����]�K���^��Y^[� )��\@O�7�'�V�% ���z�������X�ZB~���T$)� <�[m����U��rk��R"��������K&��)C�V��K����6�e�Gw�X���\����Cl
!��Kvhw:u�dJ��"M��8S���[
x��(�1��G�F�����FH
�t]Wm�L�7V�
�������V�M��h������-p����vE(B����_!�?��%����Gg�@�y��/��t@�1�28���!GE��X��l���
���)��^
mr,�R�
������b��U�3�~
�=[e�hKc5uvmOP�.n����z���� f"�{���}�YS�
6������`-�@�k�M��e���`�,���������FSf�T8��Z�$�������j��r��Xt�,g���c�M�
PQt�����=����M�I=�����Y��"�k��� "�^-t@9P1wO�����,���x�@������P �lk��I��y���Z��k�)�e�+�MZ�
h��{��D��D�;���
��}*J�Fg���(f��R��1RS������F�n�F�K�?
}iTf$r(����4-��M����+2��������&��������|>�as��a#�w���J��� Y>^��T�jz��^�+X����C�em�--�2���|~dM��S��!!X
��:t��^f�&���������@z��<#��t����G�
��/���l1����deN
Sn�N&z��^u8��jS����a�Q?�N2���X�h|����U�]��l���)�OM@h��[�m���/�l���t��&��nD��@h?�&Z��ZK_y��P���������������/�DxP�gy��J��m��]]e���g�
��NQF�t���^D�c�����|�\��5y'��
��ly��Y�x�0?���;d��)����/P+�8r�E�uh� ������@�d_���Q�^=LR��d��xZ&����=�^��+�
@�����{�V�)�tg�
wYqi7O����+ `�gp[ t
��cc�����~{`Y>�
x�g8���
�OQ?�}�T��j��+��r>��1x`��������u&������xm���aCFNBX��`������+�`���
35�`U����y;+��ju�U����#���������r��\J�D�t��Q�t����c[��><�
t�~l(:=�&�Gc>*�=L?�? ��$(R���~C�?t�n�� ��,X��^��(�fp�F�R�m�/\���f.�i�{�fa���<������j�[K�
q�s������
����b�rd��x�W��NW�TCT���j�y�R^��E�I��,���
�&��>����+��
/$�OT�����{�*���C �/���
��z�~p��8��
����,�+��v
�
�u���i,m-I�v�n�J�z�
�b��-�����K^G��*
U���� a�e��*D�D�!����x#.��/���7�z�<�j�
��[�=���3��S3i������k"!f�X=?$�ab�~�tQ)W�36>�&�v^�9��@U���-
��x=��z+�
$"���`�s����������
��ic���
�
���{��X5U��iz�t�E��s��Hd�_�d{��E�)��A��}�Q���m�
�@w(�P'��\��� �-���^�h>��'dLxi�,�-)
.x>� 2 oF���g�hI����{�G��urX��I�(��l�v�����-���C��6K�s��[�Sy�k��^��:�����V2�
�F��8%���T���2����\����gc����%P@W����W��8������g�c��d)?��-�
H�,'{zk�A�&�]����iV�%y>��vu!���ee�
�#���KW���{�b��^�UI8����2l ��;�� K��6)�������Gm
��dkm��V[��R��0���^�X
z��1�"��_�����
'
�E�-(��sZ=��
��SA�o>ZT
6���.��>�J���/Ie���&���r�7/8`lZw��`�?p�}J�e:�=��
��p����Rvf��x��=��Q>����C�*�c��T����D� 4��C���u����E�
P���A�
���y'x��>���YH$���������<![����T}a��������r�E�(-%�����b�_��3�0w@�@���[���B/�UB����c��\(8B���,uH�/u<2�sX��f#k���g��UE���������'V�����}+��U�<�1�'���[�:~��j�J��,k
/Rz�����0�n0�D��D2>^5��u���A��o��-�cw~���mr�u�����!)��E�
4�w����V�a�7�e"7������~%SZ��u���22b ��T��*b��G�+����+�_�
W�����VE�{=�G��f����UA��`|Y�l���C�KD�}p���7<tJ���k��b�������������g����-���!�!j�=N�����^�"��h�ekM�g[{����4
�Y�(�Rt'R2��GDB�.�Lx��E���=v������J����k]{��,W�
��F�^���Y#_����J�X�6xl#�v�8n���> �=�����.��
�!l�*!�2��i��0�3�
*)�5E�����Kz��NV�Oi/��xw��5�|;��#�d���[ ���U�p��Q�p�D��n�F����9$�^����&�jc�%Y(�M��fY���=�5�;�yZ)]
���|�J��'{���%��8|���?�a�����*VAzxlHxd����N���TT&���{�����oY����v�@8�E��,�n��_:�+�����U9�0���b���{�0�.������49���c]��5&#����
�5�_��_ �����Q����U��E���:�+?
���^�$�U;^��'�2$&�d��8N� ���mk������p��x����6��%s����������2-��=�o���mj���3o�Z@
�$}��.�����>���>]���)���}�\�L �
d�q��j�U�`@�
��GT�
-�� �
�V��v�4�Laf�<T]��������y��9U]7�����t����~�������q")�B��w�o
;�-�{lbU�"���p|�6d7������l�m�������c2�*���<MxT���$( ����zE�������U����O�X/�$_����[�}pX�V9�hIrCy������6V���7����;������P�i����
����
�
" 8FK$�/`������,�').%�,�_n�n�VS ��'�wg��9�0�0�� Dr�� ���z������]���]�-�
�z����%��h8�A����j
Or�C!����<:=`��Z���������j�s
-H��"��s"���o>�BS�u_����RE+z7�C?�\��`�?�
LD�I���5&��qH@����)���PO���k#=Y�ox[��G��m�A���mA�
+������h�-1{u :���m3������5��T��,.��P�CCV��b���C��]J �s�xIu6�6/g����;�`�b�t,�wX0�~f�@���'����F"��5�*��������e5���r�x���+�S� 9���!�T���x��gS���[�Yce45
U}�Y
����+?��TI������W��Z���D�(*�o�f��b/c�������<�a�d]j5��_�7%���i{n���1�Z%1tZ�p�w�,{���a��V��r*��P����$�0Xv�N;2�����U�����ue�e2��x4�
,`/��f�/VX��������^���4t
����%���dU.<y�S ��v�{�T@���t����'{',�O2$����M����h��4�u�&���X!C���,����2��{�����X�K�C��B��)����/�\�[?�V��v� ��Y�pk
������@
v��6]�������
U����<
}��01�����-���Lpe��c��j�{+�
�P0��p=�������
C�z'I{(pT�!�g09/`�?��Q�IO1y���K�[�(�
�i��z��M$
-3�ho�CoS���*Vs��
6T1K�����^
�X@��A(��LP�
�<�N�W��5#X�u
�� �3�h��+��]����n�$V�����Q���Vn�
ON� �fa���[9KU�T����&�J6Ae"
S��=����m��:\�>�}�v�E�{
�`�f?H������ N���q ���I�J�0�������#����X
�eb���u�Y�P|���w��%��/V&Yp�y������^�(�dA�����f�
�������]
��cc�v�+|�����������C����~��X���
Zvg3����)E5y
u�������E�}�,j�f"�[b�HB�y]��k�1T�U/�m���[�M�n��=��2��T5"cf��![��������YL��lo
l4z���S �
�-�
�� ��#X7G&9+�h������{�����U@��Z��z����x�l�����=�f�����j��We\��
(�+���z7�����JU��B��yF��m�
���e��Yi���5��y�:��3;��5),L\N��.��5��r
*Y��4c��PLZ[ �u3h����0����SKCkxY����ox�g)�6
�N�A�Z��U'��
�#
���Y*D"����y��*��
���!;��n����������`����!�:��N?���Q_( 6��IC:��g�}�M����@�����e#?����
��l��f��q
{Li��^�W���K@����F+x>����O�$fzC2�a��� P�W���yd��q��(<��
��$Pk{%/5H�a�x
����xE�6��_��*
�Q�q�(Vo[[}�M�����?�|�0�?+\��P�s���)�G�2a�r)�C��S�q
�w���G�����[R��=������}/�=�pW����������m�q��|��=��bw�����ihm1�G��e�������Z]�`������b6�
Bl![���No ��x�m��r���Y���e���'���x��fm1���|�
�}�
��^��3����]�Jg �9�g#�Z��I\�������-�������s�m�Vh��~6�kg���-��%�Q�
�R�D��*�������jE���o��f�F(E��
�.��
����yy�MVH�P:f� ��@8��"����0
����0p[��Qm#��;�%�e�|�
��_�:�f�����v����6�",���R���������=W�m�X��V�V�j��mpU\���u����b��s|: -�"
!�
�dD.9�������j���4d�����
aWO�9��
?�7��L�Xd!������e*�?�~��n!���0�e' 3s�B=��6�����#{�m��b���@�D��:��Jo �'�t2{W7L;
�!P��z<��
I��z#��)��yLpX.���,K�AMq��Fq�f��y��H�M��4���9������f3�9B�z�/��g�dE�cn��������WM��n�b�zU�) ����l�L���e
I���6�W���'�Y�?�+��#��������?����� �� n��`��
���r��2�:����delaC� ���Ht@��o��
M�`�IK��C��Zc���
0�}�`C
�'���H�G���xq�n�"](�l ���H=�M��z��j�D�0R�j�Aw%�����*��x"�|�8����-����zS#,)���
��|��\wq����yT;��AY���XL�b4���$>&�����ZY�:�E��|=���5������
�����b�'"G����V0ta�m���zy���>��?E�A�@V��m,��k�?�
>APno�*�<)�������Q��$
;��e�V��j����h�7:A-2�h�!R�r��6@���R� ra��Y
����
�����!�����rS�Qj��������o�����{�y��/9�SH����#c��<���M��&�9�*�Jx�h=��4>G�����������
[��y�
i�6�Ck�w��bi��4`�X��ZF\x4�$q��������l��h�.��n�`�}
�N�)x=������
�-�N�F��5D�h5�s��E�V5��
&�*H�D�����$KA[tU�Tt0�d����$�=@��r�h2T�\'�/��E�A�/�����LJ�Eo���X!k�������<6h�s�{���k������(�I
�d)�
�E���j�����PQ���g�4
��Dl^��K�"����RmE��)xq�v���1����:���3��z+Xm���3���+4UF��
��y�N�l.c�=�^�G�2�!�iW|CeJpX|���l"@�
��T�;9��fG��Xh����!�Y�m��y:
b
A��������$;h�F�����/���_��H����&I�0$�J]���UM�)���@��S����G��L��>IO A�U�j��`I��
7�I��<=�j�������&|*
aY����oh�:kj���9Q"�������1��G�
��������U��kZ53�.�7�~�T��6����!�����
Hm�T9��l����y�6y.Og �"��Hp�N��@]��'NZZ!S�*}����k����{_�.Z��X���YE�������"#
NI�uf��;�pl� ��V�u��'�gj7�'a�vl��)��}=u���M74n��F�e�#�f�� ��
V�5�����E5���
?��0�>�k�Slv!k���S�����!������aM��LH�Y
N�^
���Ty3EC��7
j��X0[�MMs
H�v
��d��v���
�+�g-t�mG%r'��d�=J�x�}�6Y��$y^- �&���?�s?��*��u�������V�Kzt�tm�)(�� >����v&�8k���M��p4�
��X
2y�5T���&.�b�k,p+}�Ci
M
��`�Umu��S��f���v�)&I��&�u�3Y�����U�+��/�
�3������d8������~w
�x6>������eg"�o��V�&�I�g�k�v!����[yL������
�R�H����7�|0��c���U���*<�)+���T�����H�D�����T`�$��RSX����2��c�x`�A�I����*c���~d�m����n����Y
�t]*
�
"\��T!���Ry���/���E
[��1�e�L����
b�F�Q�B�q��p��mV�!��+�z�
��_]= ��5�� zzl�]�w������E�`����^�0hk�t�� l��R��r��2J��� ���Uv#
2zv�����Z�K��R�
�������B�{6�<z,qx��^U\|�B����f
x�q��xkD��'a�0��Tfe���������_�n6�^?����ez��4�J��z�H��2�J���0E�.(o
��Q�T#6��UW�{:K���N���5C�<Q�`��Q.��$J$X <�W�k��w������K���oLy4q-}���!�XR=��������l9�����j������*�������R`4���P��MU��RE�C^�@��@d�`/��.��IS��������z�
m����h ����Tt�S�� S��\��r4
a\�
��N��=�F*
�UM$�Y���[l0��T������
���~���|]N?$�t����i��C��\��t�=�F%[%�WD���9�m�$���lm���EG?]j�1�N�H��.����ffO��A��y{z�d<l���Xz��f��
�vyr�.X!��={V��4l���V�������2�
�B!��
��x�g=���)���6mj�0w
�=ji���z��|J�{��y��"���pJ��+�j��
��V��;`����4
�B�
�[�C�T�i5�����2��p���]7+
����X��oU���V���Q����
�
��
(x6����qk=}�b���f
b�m�vi�e
"��L�7"�*#��# �D����`���mlJ�{,����)�]����js+
���J��� �
r &�~~���g����*X]P ����9 �R����Gm\v�n�J9����p�7>"���b&
�_���-� �m���,f�������HB����%�c��@j��'e�T��g�4R��.���"V
?4Aqf5�Tq~H,� ��s�CE u��=0�AI{��@�*�=�F��������I�A�
�d75�@m��T;%4�P���X�m�Zg�
A"a JP�M �G"��
���Z�M��C���"���Nz����i�8$�q���kr%l-E<��0��@BM���������`5[���St�,��E��D����L#��s��`p��'uz;
a{�5�
��R60.L^A��������)���
���:�!g8�J�)`��h����|���)�Q�A_�e!*�X��
%UDV�GmU���.�YE��L� ��w�����(6�������R����\=+��
4�D���2�B �!i P��ab_#���7��D:S���
r��kZW����r%� ;�u~�^�n���m��|iuz ]g���~t�wV'�-\�w�L����
(FV������:c�C����l&���zkBL��������'�}��������~��-6���c�eC�1l����v���~t� �O6�d�[Q]R�
g����yO����>
�k����)���C(
��h)������������������'���������'��"�R�R�����3�aM��!z��e�&�j/����)��yT�����6��0W�`5�JG��w��k���bqYw1���w���]�L�dtU�o���C����d���f���ac�yK�BX��A�0=X��tON���=�Zn����zi���"��"(��y���r�h���v�p8�)�cg5}h��i���(xno(�^�/���f7�f{
��8��A"S}�1�3�2h�cX�#��HXa-n�}��"��}�����#uPo����s�
�Y�^V@��������k��&�nHc@�
�i�/P|���,��v
���e+�
Q� ��]�����<y��u
�i�I����
�ci��Z3�P�MSy;h
�YfI�8���x6�.�������S��Zd�.h��(�g���N����T �
P^�E<���,k+���M���|��e�K (���/�z��j �bg��.o<<���p���B0���~���[��
��I$���������L�XR�����6kL���_n��h��C�mp��\h\�B��/,�{��8�kc����*Vc��]��BQ�/��`+ W=��t��6?�j��Z�(��{�Y
���Z�WM��=��.��^$Q^���iW��}�����RVe��E��G�
�y��y�aU����~2�(j4b����I%���u���E�O��@|K���*��^��^����bc��f�w�H���hy�<�3��9����*�
���y[��@��ilE^���(����B80/�
�M�!qC� �<H�(Pw$6wu;��|��9#������H�
=b����{:����!���>�C�(7���7�<�������C��
i(a��]�}�$��B5�5�V6#E��+�m��#t7���>�tZ7Q���w�<�
���D2�R��`����v�$>R#?b�N���s�5������Y�*��
�CN�;�KrD6 ��y���%����)�Z��S��.��� �{�R
0��,����c�@��zAK��b
��x
1�������EG��d50��N��
��r?�c���d����!�*|��U����VI1N��X�m����
�Ym��FK��F���8@:0*��I��&"*�[�����UG@��z�+�
l��D�EG�y/�>���2���f]��o���8W��������d��c$�q�s[����[4'Q�"��[��MQU��;A�6�4@��W(�zQ��6�F���t�^m]�S�foa��Y_
�������^g@�;P�7{D6E0T�'��
P��� -�N�A�Y`'!�F�'�6t�~������<
�RZ�cwg�j���i���
%\�Hx�-U��A�FI��}Rz
����G�����"�!��iU�`]}����8�*U|�=o��UG���x��=�f�{\��������Z�o'����� �wf���� ����
� t>Pkb���Ry�%
,�/�o�jd�X
E��'�����N���#����IV)�#�m�{+��u�<�D�X��=t9&�y&0{'��������������J|�
�^@$��4�
�
��L�T0=3?���Y��
%��\@+g|X�����cLb�V�V�j)7ld�Q��Q��� ��:5�V�M �6
�C
��k��;0�[�
V{�h.�K��]���\�Aw�b5��mQ���(�0SjW�����3SU�/���r$}Xt;����:�*��]�i��U������
��l3��k��fx����Z���X��5��I���S�@>�$�c/�g��S�ApF�N�f5��M<eE�����K��z�������lW:�%��Y~�
�< -.��w��K���$+���.Up��6���]
��"[1�S��z���y��j��f6$����Q�����A3�d�b��S�|�P��y*sx3o�����l������VmB�
���jE�'�f
��5�C`������������ Dd�dk�����R@$��j���E���Pn�P�=k�
�"�V�����)�����Nta��[a��^]�&�R�9X�� ����"4��c
����[��ja�)?|���������)b�E��Y��iE�/��!F��n���W?���B��������I� 7<�1�TLv��.X7X���%qy����<t�L�"��Ptfy �3���x�D���N�m]R
�2��Th��m:�d1�{P=]�};����?QN�aS~����
�#&F�l�1$fY*��A����Q�����Z�-EI��F���
��m~��Yih���Y@�xp+I-6���|��<���9�*Y�>�&=
S
��_��-����@�MG�k+��V�E��
j���j������N�3��eB�v�����Q���Z���
��py�Y��&��I
���(^c��V��7��tUg?���U��a�"�{c�����L�P�Q=����:m
�YC�Q%}�^�k^
J�
$
`"��q���^,�y5fDQ,��H��u0pX����,�� ��J}���.�����r����H�~���z������`V������=0Y��m�T��ye�����Y�N$~�e�������P�j�Ai#��H���@�
��������
{���\����
��(_%D � �}=�H#MPn ����E�RCQr�fJ�r���8S��(���V�����w����1���@q��� ���U:������#�
�t��s�,G���B��^�����
�d��M���
��A�"h�
�g���\5��:�
���G7�k��d�[��8��e�(��Q�7v�� �
�=��9[�����^��DF0���~����Di�y��s}����cU"����S��������a��t|��[�~���]l���m�%Z���foAYu����)
��x�f��o'}�.Jr�G|6��,\������.Z�����j!�!�S��j+.K�z�� yvj��O��-y��MR���'9��d
<w(���.��{�
k����hRU���#m�j�����UPz%�<�����������
Py�\�h�n�)��x
�*R�7X���}�F
@��JomM�rJ����U �I� gj��jJ�eI�v��\��Fa�O�.M5Ty���Unf��^f/��,�2�[���-���kY2���= �+V��M�a����K�m������������_�$(m�5��t���0� 6 �j��dyP���-���I��9m���
x����/��z9��G�]]�2;��n���"xv�$���'�6QM��N��o�� ���F��Y�S�(Q��CJ��6�1Y%6����3����r'�_g=+5�d �R��I���do�b���ZG�%U�S���<5�4�1��
��vU�����*I�,�P�w%;T���K�\���e��g.���6^^��U����~k�B�f�����31$I
-���X7PT2<�'��4�
zj����NVoZS3>�:E���21�k #�K.�Q����"�`'���N�_���Ai
?�,�\���f��X���
�K�m�@�"�#](4�n��U�����o�z�xLh������A��n��u�U
L���������r
]h����F,P�B6�-����a�y� �]9A� �
D�S,����F��>m|�vZM�Jd�����4�o���+���`���T�� �i��z��-�?-r1������K� �T
y��,��hI{�iOM�k��B��$�{{��L�Z�t���@K��v�#��
��
������A\�^�d`IV�X2����a����c������k���4�
�+������j{�����n-�5�}=�
�:����t�Va�<CbK$@"`aY��{�hc(
��S��Rq����Q�����+���f����G
��5y�AK��f�%�N� �
UaN�
?�H�����Zy4���
����&������>��M�.
�A�^Mt!��iy�>�������P���5���63��)��]C�pr�@M���g���x����<�n�]�A��pP �dq�^oY�5}5u~>�J��Ru��O�� �U�N�\�" �~
(<��`��>���P��z���D���O�������
�d�
v�[�X����$BT�6�~G��^��|f��1;�rO�{�0�i�d���������j�yd�O�z+�!YS���7�w7ROU��hy<s�**���c�j�����?��������#
�������������Y���^����
<�T�5�
Q��pP��
~�6f�L,eTV�����.�C��V=k�Hak_��,t�q�m���KJ���?6�
����� ��J����_��,}�����a�+@O��>@ov$�����O�c2��?�
�&hJ��[��!��xM4�k
��:�_o��������W��E�v��^#��/ �C���
��9j��e��3���Z�� �+q��,��{����_��v�r5�sQM�G�Y7A������U�
5��%zi��
{;���U��W����,�X�:~h�f11�*�r��Z�5i���i{�j����ez`
���W������
�L�Fp��� >�!��
~������J����To�
P[��(�t�!�l�d���:�z��*�oWa�RAWm�_
z�}b�����Lu�`�Zq
m��MKw����K�Zz�Do[�&�J�A0I��Z���Ey!���@M5w��
�y��;�n����|~X��lG�����@��(�Vr}d2��f���l|;����}}v�G�'VUm@*'e�_
" ���$ko
[h��@����=��)yd�����
NQt����3�
!j�T���
,v�k3�B��&�sO��QTe��N��2
�8d�C����S�
���
���o|
�S�b����I
�� ��6���mD*��l�.��%��� [r��9o��z�
�e��xr�X=�V���m�;��f�N�
��+�&;���g�ma�g�?���_7��q�
x�v�
��������M`�������4/��;%���{�����m��
P�m+X�H��� 4�������;�Dh��r�! {���3�/�2e�6T�*i��g]�[��/8t^��/���]Fm'T��w��ld��\�1���z��>�b������qui��t=DU>���,�
��^u*Z�1sW��� ���;�����k����=V�n%���*C����$�x�b����qS�pf����s�X��e���b���L�z��7���>��� ����YK�4T����M��0(��|�
n��O�B=�~�,��%��r�V��6�n��������aAL������� ���(^�,��� �= ������{��|�wL��%���#���m-w�M�t�{��|�O�jVq��� O�����^���&z���=�c;��^��bq��A��y�t�b9���I'�,������d�vo�_Uz��;Q�S��<��x��T2�^F��B�C*��G��Vj���x �_��-iT�E_�U���FrT��m�Y����u���E�$�� ��j'���.�z�B�db�C���{��5���t>�����
�j�=���a�����
�*��7��$n[2�
�p��M&����dcm
il����,���z~��X�'�^D�+��u"v���U������`�K3���}�����!J?�����?�r�������8��n(�[���������m#`7��3�$k.6���l�Z���$�x�^��M���Q{'��?���Q3u�
G:m���=?�����N }
N=�{��7�Kf
Z�s/}�7����v~>��QM�U��
&6�45�~�+�.(r3���e��������l���w�3+�/����GB|��+$��`��}OF-}?�������\
�S�x��-�)����
���e�h��������E�1}�,gIk� ����b�D�D*|I����j��
a�f��V�W;Y�IY�CmM���4�Tb����4? !� ����o*G�����
���*�2�j}�R�T��o�.}�|���p�od/Dyu+4�Z���/:�MK����i��
������6���.�;���8U/���n^�����mL�Y�Zy����i�S�������B�#z
��z��V��kV��`���v�
�d
Q,�|-|%�����ep^_�5�eS���L�-*�*�VH.��z��J&H�-��:1�o}
.�0�0�+��-�"�+���I��=�8���r����3)�8�0��w%
�M%l�e
w�����?�J����$N���]�������K;C����j��[�b
���18�����l���j���{�G>��d����U�����
�R`(]��0���V�����afK��[Q�t� �Y�V�*�>�lS�����QE���������h�f
<�e�Agsu���8:��y��q�]��~�����jY�����N�)���NP�<�{
gd^n�xUk5��O�-��X����@1['�O�x��U�I����I�:n��T ���y�R��
&�|���l���b�P�ObCL�����1^�����/�t�<�e���6{!���7
d"��W6:X�g��V.�K8�=oX�� ����A�]bi���`YH�W����e��2��������
�k�����+$Mhz��%��
����2�!� ���j���������������f�jrJ�Lf�
j�����������+��l�<��
������9kL���!k�Q�V����A�N:��x-k���QG��\`o��Q'�9�k%Y��(�o�U��������n�
-��:Y0���'$�� =�G[�G�$�@����%
[���� D�r��W����
����u���o��jox���� ���Hj6p� �^���t��z��v=��uT�/`��h��e�[��*NTHP�L� �Gu���RgV)�%g�h�a��}��8�j��.��0>��OQ=%O^��[���
�{*&��RV2 ���zt�K�H����4�*m��Q�_w�Z;j��5BH��oYp"Ae�j)�<&!�%
��L6��TE�
��r���5��N�����t
�����8`@o����mu�xDp�0��RTt�2���o`�����D�t��b}�w�
�qsY�0=��-�2�A4z��3}{�2���Do��
h��,K��
�'�{�E�9�.
�gq2+"����|�l�����$a`A��(�R���=Z�L!$���I��������+[�ra��p
� �,Q��}���h��������C�j,�����Y��V��
�e4�OTrK�Aj��m�U�j��r�k�hP��Z�C�e�fM�X
����A0,��Co��_ST�U������Jw�h��Q�E�{Fm E5
��fo!,*w
���l:q����� "�i���
����<�h�������
6��I M�O
�aeO��{v}f����~dL�(������3(������������
I1u��p�X8Tr_��<i��(J�;�
�Z�/��3�x��Q�8�5���bg��
zG�-
j�mH����^I|�"��Gy��{W���E�q�{��JK�r�l�S�������J�|m��n���W%3�a�8�t}X��\�[��o(��{&\��ow����� ��Q�@
��e_
q�k��e�V����P���\~j����
�1E}�W+�>������������+��mh�������-�di�^`EkB+ 4�3��T���>����z�o>vVG+��Kt�&{jJ����]
8�,
.S��0�vU'��Ho�h���� �N=�RVSo�x�G#;��������dc�� l��T����{=�*�1�Q
��^���GK]����e��]��U6
EQ+u���O��Y?W
����
��406lY�f
���b �$!��Q2��7�D�b�����~=�ZWrRo����F:6����B�j�L�Z3�~��zE�@���#�
\J\?i��1?������
���z� �,������ v����Z������?i��\�J��E������d��_���6j���Z���)
@�����=5cA@����@�6���Q5��10�W=Og�x�u��g��-
�|��z�W��[�+�b�����|��D!c�F<�����3�r�G7��;��`Wg��`U��-�������<D||"�w���7�c8���Nir�b�$���I�N�I�f�[��m�
��&���f���4��=�XJ���^:�z��|<�d$����F
2���M{�K���4�!T���w���P?�����Z���j�dF ����NhZ*�*���R� ��,'k�nZ?��
�A�` ���JY������+���#����X@Q���C�y���E
��t�n���S����W�fxYF�����U��� �*��'{�OP!N���aU��S���7��
�pz�bF�$����
�.r��W�i^�%�[������#��T����T�F)�
R��*�ck{�1Bu&�9�����ly���[tZ�o�z��0�D�T��RaX�_l��$���R�D��ch����l��n_�kO�R-zX46�G�
�;����V���?�b"_�����\�Y�<��[!z��=�B
S����
�nk�����cU�����#���
����W}�x��G���2�
����
v�L��g�]��s��^&6JU��7
��PX���%���I����S=��m���D
�G79mr*caBR���B]�@`����
�;
�w��Y��]��yf;���=m.�7X��I4k�-�z?���]���6���u�� ���E��4F'�5���h3
���2����
5������~
��
���4 C��7v�?0� ;HmIK�
�&�0)���t��%����g�M�E�$��mdN
G�3/���������}��w"\X�-�g�f-x��j�?v�r�Vo���!uv�pT�$�d�
�T�=N��A5k�2l��,o�^c �
$c��<�$�{��)�U���T�j�}tS$��(�������R.K�� tSI�Z��j��6vk*TO�i��-x�V�mRCkX|������C�S��
(�1l�JX�?!�����&V��J> ���1�%���1�c�'�,y�����'���*O�
�@�����^��j�
��+U"l���~��v������*�X��n��A����u�
G��`�+��#XAW���|'I��zT\4�y�z
�PHR&{�����_
��DVQqCt%o�vz�<�PP]�
�����������Hl�� O��a�[��Q�
���������{�o��=:�%���W�hR~=fQ�+C=�-����ex�
�����E
�
V��s��xHc
w���Nl;�>�Y���t��:�n��?�c���A
yW�QY�O�D���)�� �,�LvU����jd
b�e^S�M��@o<F���
,>
���o�L�y$j>�����3�b����<�N���B�?
P����c��V�
�����n�-p�������W�?+��&S-��Z�S?�{����d �(6�,��WV�E�x���\�,���h�6�OW��6����������{U�`_��j�B��*�j
��F�Cs���O��� ���t[J��MSH����dey���HB��KMe��<�����_���qzVW��|UJ1�)<�I
<?�`���v}�����W��������(��UH�"o�����@���;�c
�����V��,�O��o�[�����>�������G������@
��
�v�������*�{��tc��$�n:Y
G�!�*��kA�5A�������y��:X�s�����Zs����q1�3y���mz�L�I��$E���-����6����;�Q�(}�c�v�]����f���VB���8�{�������pIb�=���B>�2��(�&4��"
>��b
�*
i[c���9�������#�x�� ��D��R��cN�{z����G���U�-
����
��7����R�H��k�WkM?�
o
}�W�(�oe!�BC�x�
F���f��m��z���
�8t����=�}����u�H���q�t��C=J������F�r��gU�B�v����z�H^����$��Z���J0#>2K�=�P�'{'�puR�����Z�3��"��4���J����^�CR[�A�;����^]��
�
T�J����*��1i���C�IF[+�+��h��
�
M����f�Wfh�x�E�O��������W2K�_Y�P�m���5O�*��[�g�3��F%�
�.I�{E��WQ('z���nd��8x}7��Y�J�kk��3���5�U�8��=���r]b�n���JQxsD�j��S<7Y/�C�>
��g�P���!O�����kQ3�y����Sh��:3�a��/7�^]�Q�������'5������,4�LB� ��
����*AB/Q��X!�QHEB]��=1���mK�JW�=��H�b�T)�^4{i�1�=�Vct�{
�dg��W�}�
� h��{�
L�
Ht�>�5����i-��}<�����Na������u�:43�3N���#^���4x�1H;��
%a�=X��3���J9Am�Rw���+���zo
����G���A
6��b��-v��������_:����$��p5m����l;�4�T�xM
�9���$?��`�����
�>��J�(�M�!k>`��N2���[/�W��/W�L)l6��@S���^�����v�P��z�x�����������o$iyo��j���UX�Sn��U�'�������0y��rV'
b��o�EB��.���l��qc�Y�}
}�"���N��"X��6���)���VB�I�t����>)���>�3K"H�`o�V��s���)y{�h��
\�
��v�#��A������a��fqK�M�HP�^v�i��5K�D��<��1��RC���2�������@f����Tu�����
��xx����mGHu����=)�J/_�v����l�d�[��R�����
���,-[�s���t8$x�[B�a�s����5��
�[�W
����MD�����^_��U�k[��������?��S�1���
��[c��f�RT
��U���B6e�����h>K�Y��N�#N�k�&�
Bd,
�1���j�=_����
�����L�X\���i�)TU�w����yl�����^�1��������
@�t�?���y��+k��������,n�8
�2�gK����4��_���gR�Z�G��zi�E�.���������^�3
U
�a��-�DyP��+�h�]��h�V��3NDh�~����/�~8��`s���'�]����r�:�*��R%Z�Y������ Z�%2��:�1������m�w���U1��={��&���RV����f�7
T��4
�s{V��\�GV�����7�l���8S�\mn��Y"��6cc�rn�����0��7 ��U��O��#���r��������w�
h�6�y�"��~��lR
3�
��S�����WZ�(c��Ng��jyB�u�zl�/ E��{T�?���=859���M�Q�,�
��g���2Z�,}�����S����:0�>��p�0�%�we��[#��� ��
��@J�6�}n��i��.����� ��m���5y�����h��<$���>��Y�O
�X���
�H{��X��[
w����u��Y��D�x=P���@XpV�v�K/������
&���|,t��{hM�l��]���?��?��5�����J:���������_���J�?���/�� �����_����x�����
`J�y�
�x�p�s�qz02�T8z�a�}M��v
�`u���������/��'[J�+���
���?�%���1���-��;������o���2���1�Q���
`�zX���%�
��k�`���f_~B���`�
�{�1b��g�:��-���9 (��6�15�XT
��a��+(S4&�����t[�
�,]0���:_������������T�������
�����|�\}G��Tf��/8��fG�tL*�yNzi`�5*L��{�8��k���6q}���c��� �I�
�S]���
��wdX��0v�iP�{o�|���ZS�M�B�tdx�o� �������s
������+���*^!kJ2�S��n�qB�������
��X����)|���� YHZ�%�_��A,'�[ �� <��`�m���R�?��;�T��Ko.V��*$*����s�l�vP��Mc�H���N2���15���w��PEud(Q
�����Ow�'�������)� Y^yJ�3^R�z@���Z�s�F��b����Wi�Q��N��?m��%uM��4e���fW������h�uR��*�[�S�
��8���k��[�9�A�
W����D}���[���
��MW�
��a���
�s�#�'��;�k��^�gW1�a���^Gi
�
�X��uD�
D�m������jcT����������*�(����
�x6��W���-�j�_6���J�E =��3�?����(_A�]�
�cS��5���:����!����*���=�����#������!������D�
�-��4��L�O�v���Z��d4x���
+.��R�s�)�a��j����&��{��%�h�R���)~�x�$~�nR�������il]�4k�+Wi�{!��S��S�5�O���b���
�x�n����Kax�kh�v�����g�
��^���}��I�� �f
�3�vc�Ml7nR@f;l���b�W~<�� 7 k!V1�VR��Y����6�pp�rR�<*�X�������
����U�b���j������
E^?O!��$�
7����z�����������1?@�����z�I��{/sp�,���mcH��\[��R�1��M����b���$�v��$����!h��'���s�Q����S���!��U���� ����:r����]��5�6 ��7���v�=�p��~��la���7> ����)naV$-����_�x����)e��Gv�aT���I������c n��\���^�zSo�a��{u�n�5�� ������W�J:(q��%�V����qUX2D�u��
Xv����t��L�������A��s!�������c����?�����z�:��SE�Nuj�7K2��
fQ_��M�v�'��JC}��w�\&�\e��.�F�����A���<����ec�S,�
V���v��2u*Jsl/���������`#���C ~������^e�t�����K�-I�U���� z4@&a�n>�!���G'���D�C#22���
w3���[�Nw�X��=��7��X��\HTI:�D��Z_kG��+�w����z�����#ep��P]���{��t=��_���y�����+'��,
.Y+f���r�r�}�D�E�#T}���2�R�F��\�K�G�fK ��*�['�Lt��X��D��)
M����1�6������d����?n,(�T^�<JS$iI� ���������/�R�]�W���C���:��=U���>�$�s
����b���?zA�-7�
��f�K�GP.�
�P�o������;� �A��
�D�#��!X�����n���O�>f*�s������#p����w���[�J3�U��EK��Y;�<��qPe��
���m����R�RG�O�������$gs���!�����U���AM�J���y����Nt�����+�MA]�
q
�9+�pG�����B�DJwXd����w�606�e�}KW'���o��K2$
�� =|�N..�
r�i2_t�n�T�&I�+�?�#E������,Wd�Q+���%���M
B}b��X��h���5�fE!��]�$���^7�.�Wa���C��\>������E5����|8�
��
�����+�����% �6������������+���J�=���M#]��u���"���F
`m?�
��N�p��vH\�y������G�/�VtkL�x��Y�o�����5���,
Z��
��������� j��G�"��e��%
l�wp�D7�`' $
B\�$^Y� �����F��!qjI���(Qr�%H��&~��qS����78��
E��8�VW�0Hs;JC��?�u��N���GpEEu�S�Vs}P^^;��{Pl� �Sss�����rq��M<�6��
�'�D,�H�B��� ���s�<��R?O�
O���C5�5B�2���=JsP,�P�9l����m��|w��
Ow
�o:�;�
��/X��O7�����U�]�
0?�n=�{�:�����0���� �IiB��*q<Uq4����?�_*+( ��"j�(UQ��o!�N4T�wG��S���npI)���P���d���O"v�'�f?��d����"��;���w��U����v�P6�\$!��P�;|�\}�OJ'���.�kM�H�W>���l!���������������^�N�}$+R�fsk���4�l���o��jl����N�F*����
U����S�9�oQ����uoP�%nr��]�����^
�����5N\v�(MCZ%��%��v9��Gm������[JK��v���
�$�oF�2����W,X?}t?
:R������h���S2��/�O�����U�eQ
r����v��8P������^���oY��r����l��&_��=�]{��8�f� ��r���I
��A��i������*��� ����R�U��I����l���~��8-����������Y����5�Z/A;
�M�o":��u�+��K��Z�
m$��?v���4�D<2��������
9��YK
�?�$�T�!\P[��������,uGS�W`�8�v(o��`�����8���5�'�a{�$�������h^��[K:)8����_m���uHM�/z9�M
��=�:0i|��`�h��)O��� !A��y:W=��?��T�w}�H���������Fr����Wy���?����_���
�s��
�-K}<�J �Kn$�6��C"�Q,K��JO( �I��*�|��Z}^i��`��h._-� �z��w�i����
����8��������:v:�r�t��H��5J��"����l���Z
�]MI�KP���Zq��:dY��|�����@E[k"���7�-?��A����o�:X�08
[�j( ��7��qC�t������V���]=$����J"
W8T}�
5��5
S:�-
@���� ��X_&(el9��^O��
�C�����^W���M��r�������r���f��^q^�v����f���'�� �� ��5�e�3�.[+�8H;����8/Q-(XT9�u��V�/k�J.��-��m�'��z�8|�R
�^����T2b������aD����.��U*9i��i��n��D�V��:!v��u��cc���
� ���X�F�F9_�p���l�5d0����R@�H���&����x��
�$q�_�n'�u�5Q���OUi�
5Q�p���lK]�T���,_bR9��'��QE-*a�3�?'����'P_p�rYR3�Ky`
���l�'�\�bE�H<��G����)������d:8��}��\c
o�X7��3 :'�?5 �c�Du��8��&�3 ��M�����n�6t�-����� ���Y0�����-����]^������+��2Q$H{#����> 7��K�q�^���5���1<��^L
:V��2+/~=���
L,����u���RUl,�o��/ ����F�I�(sT(�H���2�������VG%2��� ���j���`�32�N�4�v����J�4��GWIG����!�u���Em�+mV�a-��.}
��L�zn�P�Q�|�K��)���6b��~�3�
em��zE�&�2V49�^����3�J��c)�)]-1}������7��IB
E��8d�v
��_����`�&~�Ey�x�}��4��]x��|������~���Q��l�g��=*��/!wJ�7*`������,�%
��8a�k2x@4�:�<E�tGj������'OK���8�$��/��u
�}D�`�;W��.������^�����Ex�Eo5���c���Xq������ bT������
�
�RO=Ak��0!
M ��x |04��W�n���or��(�q�pE�D�
�Xu|��2��
�]�*%�]O;��c
���Zs����iQ�����n`���*�E.��
j���I&?���;�%
/m"�����[��Y��������c��:�O���L������c�i]����uu� ��D�H�?W)*�
��:��]~jI~�
��J0��J��
f�� ,��X�b��Jx�����p�,��1mkD�0=�4����H�
����9f5��:D���#��n2l�
�Y
d���^����]8S�9����^�D-&�`���,~I��q��@�6*�������As2q�3���Z�2�
�c���
��pk��D�-#��������u�<
��������C'���xR�!�fi���^m[kjg���hS�(�e��hiZes���K��>��Q���nMW���'�/7�C �t��tX�����U:���O��qt<�|���Xt�P&��q�����Q5C~��<A�|~�9jI����Q3�)�a+�� ���&�\���]�>v0O��*�f
a��
��I�"���g���D;=�&�R/������5��
����D@����p������?�x���{��F�}��t�E�]�
����l���zxe����g�%��CEf��N9�3+�{����S��z ��Es��-kU
d��g�i&�<�L:�r[�m$��#C���P���\ #m��7k���>t\����9}��[��4hZ���HU�<�����|
'��:x
�)������I
�?H �*�j�K�kw�=d>*@W��]����_A���hg���rRaS;&O�w_A�������j��mDA���%
���
��������9>�OP���I��
b"w��� )X��j'S�*
���������,���2 ���Ls����D��������
�q{W���J�]N����;IV|Us���~�����f�[]��
9=j��Y�a,�]SD��^��|S�q�,'(��$�p����7Cl�/[�L��}�`
��5Q�
�
]#
*}���G���������YQt����px�zx
�%�,�����U���5��_�;�������:A��2H���)���o)��V}
z$J�
I��s`�
urK^N��I]��:���_4�"���Ott����T��D�TY�����[�PB��8u ��-M��+u�p~�H��c�S�;PV����:
\w�X9�o��z�����\W(uw?*p�Z�V[��zF],�e`��O�`ozK%���A�o���
T�`nEy��i�R���lX�
,�I�K�����X,WZ?�U�2������
��;0$������������5���F>�E�������N�u����y���S��d�BnQ�Y���q�gfpZ]���Po$pl�r������
:^���ic�����s
�
��,�6��2wN�|~������V���>u�@�M� >�UW��NE�d��>��m�o�]�0��H�������K��g>��*�IeH�m��
7��p�WXe[������E�\@�oJ[i|�)�1���Ca$��1SQ?�
��W�����X�n�i
I������~�c�����m�$��#�'^Z�LMu[s�JR��#9��|�����&���dA#jW������l ����� :I�$����3��m�Oo�T59k����g��hwM�_�v�d&!��A40�����}��IO�
��
O p���B����������+��a��5���h�x��c��*Y�q���~���C-�?Y&�?�}������>�F�,b�]U~��u���u�������M���5�����4jD�Y��G�Dy:�1�M����dr�s~������T:3�m���*J�������!������ ���\f���y���
��m0����q?�<����������� ��������������7��?������2�������
��e.��-�����^|��x�������:��n������J9j��^��N�����r��4_@�]q�g�H�/���
� �������w��ch������:����;��Y�9���rl(�������=@���SIJMP�w=?��b�d�o^�h�u�Q�lZ�P���30�N�;h��U!�!�t���������V#=��n�SB.w����
E�d����:
w�����)��� ��b�������k�O�-�RC���yE3�:�(J�����k%E��G�Gw��tu'%�2��d}nY��I�b�wo����,�'|�h��LW�up��d��j�s7d�P�����Lr+���o���W��1���"� ��[��j�jR/�,v53��S���<��hn��=���� ����*T�t1j���&�T�/)W�����w�`�!8pZ�S��zk��^����C���
P�F�"Y��~��S�l�e�t�,�Q��pjC��P�Wi�i(���:y���W�R����*�vN+Pq*yL{E�U1I����D��Q��s
8�:��i�+rK�e��z�P���9�U*�:� ������]^��,�lL�p}HP�����(��CT5����At��>}����P�t~�l+~�����EM����j
e�Tt
�
� ��kt ��A�F����;���\�z����wPY��\n�tw�������vx�����%�.�,��v��*�
���������6)a���
�T�n����:�G�#��R����H�V��m@�O�$Uu����;'C2��
�%���x� ����<�dS��u��f�$�*��S���U�Y�
I9��K����J\Z�������jM;.x�\gB;0����|8o}��hj����������6I�d�F#x�:[ZY�]�1���D���`�D�=��Z�� �L�1����z#�D���
U�@!����%X).��N����77���(���*�]I��F�-�d[�j4X$&��
����xc=�*�n��-(
���6�v�����w��0�J���
��-
�����M�
>l�j})2�&R��@%q���I��<b�#5�&NW�(�$W����w�j��u�^v"C�.�KB����f�|W2:���"5�s��u�~m��V�)q����UN5���(om�=�Gt����-��b�)�LE\��/�t�v�r����9dO��3
���Wu�]�_��9�����_Sji��{��w
��h�2>n��d&_M��u n����(�Lx{��YJ��@�
�U��)�Y9lT��r3I���YY��w9q��9�[c�������u�����8hE���+?�<���db�(�����"7�J���Iu��a�^^D
Y��u��~�/�<�Z%�n�i�d�E�h?3�}�c+�@�
��9<]�Y*S����e�I����B���:4����o
��/�+\�A�V��������,�8�t~E���B��k��O�
��<�u
��Q��M�WU�����m='bK���������C��������9�(��^� /��F���W��
-N���i
�N$�A�D��(���� �D�]�4�c��'}O��J5�n=2x��9�Ggw��(/�=�u�&��K�D2��
�%
� ���W���7%� ��w��k�]�;��&�kgnx��hK���%��a�~$�t
2x:��m%���d�H��2�
��"�\��
�r*��=�%}a����*�����
���
j�9�)S�8nf]�9�[C���]������x��twV�
l�����;P�:�w���q��Qw�6������3�50���yw��Zv�%��2q�{?����-��P<����6>)$8��N[ �iW�mV
��S�+^zn6#H�J#1����+ �k���X�{']�ZW�U�������l.V�/
7������y++g+vh�B��z`��z��s��u����ZS���:-�,<�n�8��
'D�hW��F����b��.P�S�����v"[�*���8*�?{�����{R=p7R��A����:P}��YT�W4Pu��m��c�������~y��}����������fQT�W}Rf�?�%�f�����<��
]�S$�|�E�7?�f���D��
F�C���x�t�dqH_����7���~�v�r�,�����b��[�2-%��k/�M
�"������t��{����Bpd�
�G��rk�i���U3a�����u���qYGU���P�������'F�0`I�����T"��*�LP4O�h����T�w��K��<mn�n���0m�G��:�<��a�kw���b4���I�.�
J�7
�����R0��:������*�ug��J��s�u�U����= �|���S�_�nW-���L���c��-����+h0<7�U ����9=��
v�#�$���$�f4f!RQ��� ��W����|��t���>��c��?u��W48*��F���=�8��(I��N
]Q����exke�_Zk�"1���=_�nt
��y� ��C5���TJ
����S�����sx�]d�j�����l.)�+
]�)��w*RZ9q������fA�)��AR�Ho
(W����q���x
�4�.�6�Ooi���_AmR���O+�'��2�������Vc�I�2�UoQ�U�p^� ��h�������e
���E������ E��_�������%q_!`nEs�
��bp'.S�w���$��=�.�-n�,�,p�j[���=P:*������z[��;����D����Q,|Z��8�I
���T-�qX?�I��x�N�d�*`�9��r��������E�?���}������Av3�D�����k��U�;�� �J~����m����.���;�&z�uZ�� �
��M~
hXNv�]��H������j�r��Xr
u��8�q�h���B��s;�8r!�h��<s�4�JV�m���W{��X
K����P����o��dEU�q
/v�S)���R1��0^�T�K�^�@������:��
bX�E��EA��@Hm[>���
,Ao(P�u��D�|��ee���TJ �������<�T���t��$�k�z�x.Y���a�r��K��
������,����
�����T���������w�)��{
�]p�� +s>�\J��6^�C
�c����dX�dp�`���*/K�
>�5c�j8:���2�-T����=��)=�����~��\�Q�F�>�f��b
�)�S���
������]����Q�l=�si�V&:�G�>��\W�\�Oj�,��M��+
�u���]�j����U}��]�"l�
���J�(�����������%�(�j^�W97����'�s��
���P�z�bZUe��=�(��7YN�
�o�����L���4F1CX�
�^�'N�'k�����}�q��I�����P��;H�Doe������^��2%U�����(������%i)�=
�BF�2�&�EA#5d D�[�>���3����U��I�|\�>\%0����g�k ������� ��$l�Z(�wz DZN?�Z=�m/��2�X{�%)Y_�S�Nu�%:���ltud*��� 6� ���)KR 7|��<(CWQ�"�_m�`';i�}�F;�XZ>��gU�]����+��K����
��H��,/����fc�
p.2~�4�WU��v�q��~��U �uR��?x�V1\�O��U�p��� ��b���B'e������
P��j��P�$�A�E��SU��$�U�������g�r^�;8
d;{���f��|���|���M��uZT�1�+-1m�fB)_�J�������w�Nv�����h?�ms.s�&)/����N�]����:YWm�����j`~��E�vKM
Qp)�or]������l �}_CNb9�X���4�Nl|��@�7l�<�/
D�yN`�X�qF����P7����[)��
�0���/�|�
�?R�8�b��Z,qe:�RNc�#�:��|�\����b���7�2FIm;�x�ldj�������~���)T
@�{�u(����X���j�pM����
�k��E��
JE�|%f
�2�?�A���C�Ce5������
z�,�
�J*�^9��j���
9��������:��cv��k]3&��T
��������������8|59���b��5$@�=����jK�R����W�]��M��aT���<����,�Q�5�(������
Q;)%�m����
����x8m��+�����-
�
>�{JwD����Ss�$3|k@,��p�X
��OSU&���
2�G'-i�|��d�`�6t�J<��h�����
���X�O�FDe��U����%��.eY�0�:��L�D�O��sN�;8*-_�A�>2���tUm����p������E��X��?�����g�3 �C��[|�'6�E�h��5?z&*5E�,��&�1zlr�+�z.% ��!<>��s��
�^��u5�����M� �\71�6�^�m���u�>�J
5 ���p���|M�mk�������*" �_��q�v����e��v.������vK�3.� �Pf���V�[
�,W�
D�AU
����e��������Rt����xn�*A���_��o^�
�}Y�I����Qua���Y���k9��"�����@���O�J������Q�K�c�
��I�d�B������|���\��
�F^JOXYF@�[U�/�2
�?�c$!M5x����7l!�(^��)q��6�5�=HI��{!9��5dd�}Zv��-�{I�^eb�PAbn���[���� ������
i��JA��k6K��R�a�\v�5DV����4-�ls������\1��d58��D�-�:09J��+�*�F$�e�1��Y�@!f�G�`���f5�T�J�������K/Vg��]�j�i ��V���>yY6m N��>f����
/������U& ���[b����u�R��\����Tm���4 q[1B�~T
UE�U�z�.�KZ�
���A�����c�
;:
��N��5�4$� !�*/����a���tb��
i��Z��'�D|�&-�tUt���gP���j�Vu)����
��X�K�f|U
��L�wI����������o�Z��$��)$��_i�!{��7�9t i �t�W���TJ���E�6h5
N���tr�]���������K��"$�}��������'9�����~Wy����-��x�X��,[@�SI��%
�iy�z�
��m���X9�&
�Z�����V;��'�`�
����d���c������{�� CG�($��5s����J��Z�x��{a�,%�"�Fi��b"��P#N�D
�)�����
��R
=J���A3{��}K��;��muV!�f��:��$��bu�By��&�~�u��ywd�c��
L|�n�AF
���e��_�s�"�%k=(��@����N���
p����3��Q�z*��d�y?�_tB�b+������{�EROr7���
�7{�R��j�tx�09��"��-' �*gH�QP��lR�;���*�4
��
*x�'E��3���DX���YwK��-��x���"�}�;���� A.de����.���2�Ms������� ����X��r ���OM\��n�*�G�H8p'��;O�=a��������;��&��+Z����=n
�����r��M4���0n����D�1��O��t���e�����u{Se�Ca�,7��A��� N
��i��A|\��:�=pR%mW~VX�R������� �N&�H�'������-�� �����3~��z�����!CL_�������%;L7�����
���v�%T�y���NK���(�^Q>Wj\7���6����-�|����,6��x�VA/��3��H��� E�3���^>Je1Y��k�u�q?�
w��v�p��4���Ql]F��u���8fr�-�W���hM��|���"��<
�o�@8m��68�d��M�!u"�������*j�DV��t�C��<��Y5#M�����N��"_K�s9U��
��!Vzj�`��=��-!��wQ0(�hG�:�
��7F�0~
pO�Z'�5����v�n!��{������fC/F.��U-���k�M��z;�)I� �1�G$e���U�VF���e<��1����QVO
i�K/:'����4�������K$��T������2�(lS��
D�Q�=�F�����G����
��;�5���R�F�p5�<�z.h�Q^��� �O5����)
|���� �`ss�y��8LQ8��E�����R�����3aU��o���S����t�������4��F������6�;���4�C�
,IGV�
^��C^
���f� �A��v��N� Q��
��*�*U�[sA��Y5��Mq��*�� ������s?��6H�
��w��W{��[�h��������"
qO/�U�}�kWO��XT��#�����/����l(���pQl��H��M$�N�}O���� ��Om����
��`I��U���H� t��(�
R
�UJ�u��X�e�5�I���
���< :�@X��
�]� ��>
�<��?����� �_
v��*��l���������6
_S�M:��"�\��S'�,v ������{��8Q�D�CK�|]�# ���u�2RkZ�s?�����V�xh��&g���F�K�9���l����tkoEn
IS������Z�Op�Af;��B::ts.s��S�������wk��Ak ��qLwQj���!�u b�����
i�F��@
D%�?M��������\�4k���$524�[��]8�]��� ���&�%�/�J��(g��D�����
AfU��
^i=����By�h��D��Mq]M�JZ:
n �2I{����(�bP�e�K�V�C!)�2��Q����������3��������{��?������7���R�x�w.~�lu
V���������[o���LiB}S_5��Z�
{ f@�rW�H���
p���Ld�����o;�r�@����� �?��q�$���W�R�r�
�> �����b�W�^O�su���4F��w�����d��;�q*Y�N���@e�+�Y�����p
�+Q�
V��cU�e*�6u�R��(�O�;j�l�
����Hr1 !�~��
��3�
@hQ����a�*����{�����n*�'5
�?����Ou���D[�������
�
?c�C�s��i
�m�x|@�!�������m�^�7�R��(�L�
���]}��+cO?
�F��"K)��#�������j9Z&x�����N�S�0 +L=����y�6����>������ ��������5�z��La��o����K��-+5�`s�o(��?�CU���q�:p������81u2H�#������0�Ht��~f��(�{24R3��� ��-���8��KI��AeN��~9r�[��P���1Q��}�G="�TJ�B`OP����}�
����N�{�Zp�J�^T�4�Z��@�]$;tj
;r�}`�g����|�ma�Q
�]�
���Y�w��H�H����Vy��[���X�`��^%�5jm�L
��������Sp�� ~���j�.`"I[/$NZV������Ub�
�����:�N]e3���9?��F�%���P)����KS?��
�6b�����y^���:DC���
Rm��&
-V
�p�>8���N;�O�(�%�/8C�1�5q6o2�)�Nw#�x�am.�S6��
Ua=��
�R�V��t��r��J
���<�������T�U� )PJ�����.x5��xJ���u{R��[��
�f�9%�����X��LN�?�}p��d�+XS�����m�&��
�^_l^`�+/s�[0�����}0�.q)a��������~L60�K��% ���j���
�E�:���.�Dv�}2.��OA#�q7j������0�����
���T��/s
���Uf�������� �&���I`Q�t�J�e����+
���&@������q�����@�G�Q�U��WH;�ZU��dWC�
��t+Text����w�������-���.�7����Z�I�0T��q�vk.���R�}�2 �v�E^P�3�*���~v3�\��r���X���=�?h�2��
(�ZY��=sc_!@���x�d<:\��vjnf���[�����-�W��f�<
�������W-`��u={%�9so~���y
�.CR\%��qTw���` ���h��Hu���]����� ;��hWr\���p�N���_J��!Cz�Gw�G�`x
tk�.-���j�@X��+��J���9T��.�������5jw;��w����q�@
�IVS2�
��#6�1]�M<�+B%WJ�|��P3ww�Zx�U
�F+8����u�Mq "��������f�"!�"��Dm���&s�(4O&x��3���
��n���Bjs������ �����d> ���G�y=[�&�����7����|���<�75%������������Dhu;�����*r��3RL���$��Q��r��G����]8:�~m�2��~�������I�S���.vE��P5ZS��<Y��6�����K����{T|��"��5������F��
7�����e��M�K&���IN����e���*���
�-��`B{
HF�P��G�]�:jZ��x��-��9��<�k����TX�J�~Gc��i&G,��
��e���X[�v���D�M�U�<w%� ��Z8���
�0Q]g���=
��N��nL\w��bh������kM����S�B9 �@
��w��,):J�J-r�O�W5D��%5��: ������
���r�dw�"�T���H6W)L]��$�Y�����e��QE�E��J���6��k]GtG��[������S]7���Y� Nb��py����j����y;p6t^P�%D�g(\���jt�+��n-/FEL���ztM���l��
n����[-Xw��Ul������ ��H�.q�[����?�r���u��y7c[TqgtP�G ���:|�NR�>��3 v��T#��p3�7����m��~W>@i�c���S��*�N�==_
�C�}L-mY ���[�Wq��\����������\J���u�/ �Dn�
t!���uP���h�Q���x*�Wry����1$�B(��(U����pu���
5���i����$�v=Q�>�� ��:
�|J�+^%��-�+=�I�� sp�����v���y;!��4A���E���D&��\|��]�wM�/��/��'0-���i��=2�CpHEM���P�s���d}���@���&��jQA(AT����b|���=��D�T��\��(:H��9'���U�#�d��?�kU�<���
g�lq���qG�e ���'��X��xwC
�t9��Q�Z�x����)lHz�B�R%����6�rV�� M��|4����#��M
����FU4[r���������
���p����nH"8�#����V| �f$�F�����
J?i�=�Jt,e�c^��'|��&��e���������p<���+!7
Ro
�W���]~�c�%������T�N��TmR�zC�(7��\�Sx(����>^���$" ��r�V��)�U+'):������$��sd2h���4$�g-
��U��?�o4xh/���y����s[���I���Ep�^��zRf�S2��$��Y��j�����5��l�?�^uJ�
����yg{
��_�Q��S��O�����8J��V���M�ab���
@^��8�6�<_[�t��_�#Q��SM�c��3M�~�`%�T"�+�S�x(R��,�(����{�Sa��\P?*���u�i��+�sAQ����oo��A��Bh!�%K�,]���B��d���~����]X�D�K
�V�<4�5;����vR3O{U��'�J���+(5A�$�'�
%.��Z��\ ��������f5�4����]��;���
��P���h��I�_U�U�!�Fg����%�PA9]����m�qPlP��Q�p���]�'eM���S>����
PC>p�%���=��?R�p�@�p<�2�)\��P&L^I��������V��)a��������9I� S;����kb/�D����BY�V�5���
CU���
FR��p�yn{��5����*I-���{��CI+ ��L+�ZA�\���J��N�K+���X�.���6(6
�Cy:>~������4��SUr��z����w�"Q_�&!��w��!�*{ns��������*i���&E~��e��Z
��5K�V�Y_}�S���b�[���������@�I��E�y��Ot�����{�,tP���=��,m
�g-���QL�����Pdb�a:8����NI��t`
Q��s\M)�"��'�<��AV�+o�N�
Z�U��
��<h�s�
�
����d�H�
�$[�D*AZ� ��^�������t��
��A�
I�����J<�_PH�
�� i�8[K���[�5�p8�O���e3l\p��#1l������6����W
��LBX&<��{����c_n���������I$9���Ww!eQ�ke��E����x���o���c��2��w�*
xRe"��������Q.'%��l��p�yA��re�_�����W|I
S�+��rG�
N�
����bT��gh
CZ��5��?����r�k�E�:
�
�>S
]$A����9�R����m �te��]A�T6������<���nJ���8�N!^��ZV�G��9����:p.�Q��O��X�����%�${
`t��a�w{�*�e2�ni���e�k��{
��E�J��/���x��}��}�
NTF!_+o�����^S�p��d,��8`o
k(�_���J��������7����.<N��B$y�������a��P �Nmd����NK�O�5�)
�FY
x^����n�������g���x���x�#9���~/��, �U�������'�+���\kJ
w_ `�#�DO�R��5��r��2�V�D��������`R�Z���D��k��>uB����$�� ����0��#�����$�����j�J��K\nm�a;�Y�t
u�����|�P��+�P�F���.Ce��5��l�� ux��]��!��U���Et�� �s!��J�5��9��^��V@_5S��[�L���C���q�I�r�w<���
'��I5���]C�]=K�[U����5��R_nKb
��8I��jjhw��l�J �07�=8�oU,���h�����Hru,o.�3=���1�����RJ��R�q�^p�o�;�}y����H�w�x���Q�e���j��oB�T����8�oi6�M@u;��j-yI���
���(�K�g�{.�����/�h���H�W�-5WQ�u��O]�s�W)��f ��?��2����3����%
� �����hmjd�&
��[G��b T�����Fz�^�)�d?�����b|
���������-
���B��K�>~��3��U��#�����uZrM 4���Q.S�]*> �|v
�5���
�+�����
@��|����R�E�BjP�$�@��������'W��������bF.����*����C���t}��_�� ��8~��8v=/�����
�1�k�Cf���W�PVu��kEz�
tEBU��������UF���l����Y�b��i<����*�P� �VO�F*��
E��@Pj���_�������Ws�L�v
K����
D [��]�JE�>�.�lM@����VB`@��qk,�+*!��s`�]
�
�ZZ���7���{V�D�����
��UI��q��J
P�T����J�����/Iy�0�����l�����bkK
,~:��B�C����G�4m�9��;;{�T�.N���D�5
i���WjH�%�q��P ����"����X�?N_���?:_�>{j���-�mw��xVR��z�������:�Di<�0��������u�N
D��]�h��-�w����B���28���z�}�
\�T���
�q� ��
����rR���x^��+����q�~�����b�r nz�>��*��<�Ahx��.#��������S�g������n�$P��Z�_u���AjQ�e��<�Z���3���)���Y"~ cP���G�3K��S ���K�f��wR��
.z�F�c��.��GH��0glKYq�M��r.MI���[�r0?X�-*���?��H-��^����G��x������5x�;\S@ �>�
�"��Rv�s#a���g�i�X�k"v$1��q
I�:.0` �J�s�e���ss���m�
��s���\������j�|&7�[���*1__Rp���\+SXL'>����?u����V]��Vq]�c��U����s<��A��P�
I
e��=�\{
~��
�fx
���S�5Y��
=l<3
�>_��������M��Q]L�k�E�I�:r��e
���:�v�|U�{9���������CB�n6��X:E�#��,'g���VOD�0]��I�T�Z��� 0���UT:i9D��Ed��`�e���
��/��u���h��!�dP�x��!��DI���
�4B��xn���4��Ck��8� ����
n�vY�h�A���!��Qza��Ki��
H2p�at��W��sg���j������7�+�OY�r��
�,�8���������5���m�n�c����T�p4��
k�7�V�s08������rk(_�7&
w ��:NX��W�T�ZC����r��IO�V�qV1G*=8Jhj��.��5
��u�9&�r[4Z��J���\W~����^���������������������V0���Cm����O�X��{�4^+I�
U��9Q�J��W[B�ZQ������Hx��;e�-V} PQ1+�
�qeN�#��<�
�*�I�n
X�g�/���q
l(9�K�:�
�~U9��>:��p�� �
O2gW{�F\��g�
������!�L%���
J��u7H���:/�C"��c�U��>`�F�^�)��v�D�&����p���C&p���\���q�)IxX.64[_W���
���E��,<T���5���[�{Y�
u�vx��^�*��r���-_��5����������f�z�Lj�����q��R������o���>�
~�k��<?v��*|����k�)�������
\\�R�IJ������X{hA�9^qb����O)��eikKRo��-xn��
k��qa�v���}��k��t�wg�b�
Z��
�c�%.M������^I�j�R�)�%���F�������T�w@��ii�Q
4hq[���t 21�#����
��t��l%�]�������������
���G~�oS������<o
9��R.��q���e��z%�w�
��(���������
�E !#��geS��'1*��.���OkZ���*�2�:Ia�p7��X���5m�ER�O�����V����z��{��%�K(2�H�}���>�����V^������s2�R����6Y���NY��lr���GZ�_�f�Qg4+m��;`)�tX��A^�s��k~�gIZ��4�<�g��?5�~]5��)(�6%�w9Z�4����[�� �� �fi�+�~4��K����/����X�Z���4�o=t����W��*��e#����.u)��KQxbMl�4����}��=�h��D���2��NP��"������C��;�~�����W
������"�E
I���D�Xj��QS��)��`�l���%�5T%<&;��\u�q�1:L,XR����z��Lr�\��&�r
S��v�"��baUQ��C����WP���G���I����Q��R����j*���y�7.i���� '�O�(���c����ju�����;J��t��p����;���x������n��zi�z�G�hI����er��!3e��G�9��68D2h��z�ZVL�C�������6���H����
�� 4���Q��F�<Ka��
?��c|H9�\pFq���T��������/
Z����T�o4�8u,��@���O8D@��]q'
��E�"C�/����M�3�c.�G\B�B�7���%�E���Ip)�S��ilV���K���WBZ��E�R�5?�:S��r��]8!
?�n���]����dU�`$wo��"����I Iq�
Y =�r����:l����R��j��U{���T��
?I�S�G@���OL&'%�ZC�S�l������ ��1����k�d~<IC _��t�8��+���i����o��hN ,�sSV����f�NO\�|��������g��?��'���������#����������I�V�+%.��K�|�
.�����Rt����K
Q�El��M
�u"������1b�ri!��7�d4�\n{��MRt�q�+�p�+Q����*%���f�nT��4:6e����t�AhS��'w=\,We(�U����NI�M�x��4^9��Y{n"��>]W�.�9+zG
[����e9k��t����7^'lk#��&w���OXl��C5+]��m�������Uu�r=S!��}��K��.��=P
Tvjb���}��|%?DY������)��'Gt��v�W�-��
��!���qu�O2}v=���,�
����GJ������@8>��;�Qf��X�n�����]�])�� Z*���rb���n�|����U��v����P��
��S��
�z��cu���c:���x@�'Hi\���)�Z�:�����cK�Pe�
n� ��~�2��$�~���vUX�1p�5�U4a�
�tGm��R�s�j�q�t��
o_o�
(y�g9I��WRzrnVUs�J)�/5��e9�f������.Zt��,_o���[G:�������]���]��0��N��y��tE��S%7�U��������[�+�'���+o�
���%�G�e` i dwL��\��U��J�y�"��P(���(\��������b���2����j��BE��H�
������
L@
x����IG 1�^{�t��f+���\V��C����=�
R�Y~_�\L��L��<���[UR����8�v�lM7$8���Q�s�����Xd)v�>!�
����p^��^|���[e�����m0���B�<�p?Q-�b�R��������-�
�x�S�y�}Z��D@�\��ZU��q�8G�7�)oZ^��/W���L]�H���S�>��u�
��M����F�;�.C��
b
H
����(���{Q��g����>�mr����P����������4�� �}���Y���~
;����S�
'%H9>�L:�zAi(�j���T����.E��F
m������{�[�.+����Q����3)AO���� En���Gb�J�y|7��x�s'}S�p/��?����6�N~�T
��<z��,�vM~U�$�������/=��h����?z
�l@��}KF� �<��:E*FP��qT�:���U��9�C����P�*��k��
�S�&��J���8n���&�Q�"����eK�
*
+6�@S������R*�e���|����t���a;��k�
��gD[���h:�C�H����������aM]�S������|x����:^-j,t���W��=/���_�����!���Y�"�����$<��i4���Gi*���9��*�|i���aC2������{$r��^��Y�����
�V�����u��a���Uw����]�����`�+Vo�d��������y�j�w����>x�.D�'�%jm;|W����S'���������1�$�B�+��e��������<9�
&�������H~9�C#aJZY��YJ|���"�E��x��S�8�p�:�-�H���zQz1��@�d�:��Y�e�:�=S�O���}��l�����w��{��]���Z����^����qwO�\��e�H�Rm�s0H�
I#������
������)Ys���K�����I6��IJ ���Fs
m��P>��J����Q
���s[V
Q��+���Z�K�.�nh�}^�t"{'�����������IH�cy�o��el+j�5�������'+��u=z�K7r�,��C2�76=<1r���� ���hdU��.������
n
U����
����[Y��{&��7��1�?�
��
,�"�`���t��y�m<W��?F����x��
�\bNA����:������lH��
*kO�w�1�J�S���hS8��.�b���g=����x�kOU�c�$�
r����s_������]���}���$�v?��4r��=j�������:����u��Ey�
��>@HWW�G�Q��/J��Q��b +G��v��8����4��&�����\6Qr�l�1�J�q��k�u�^�k�i����
}"�x�;�}�|��s��{o�L�nW��+�U���i9<Z#Op$�������j�BO������
�Jx�M��j�������
�<m�o���'���+":{R
m�������O������j��|Y��K��T
\ �.:+s.u�X��Q�
��=cW�-��]��Jsl���_�
%�_5�I��S��(���?r��0-W������NR��s��^����
�ht�b=��s� .
�L��%�������
�o�N���o����^�.X���&%Y
��h�!5�9�n6
E�<~�5y�[�9����;{�[������
���/��w�@����P<vR(��'^���B�.��8`
tp�tUF��K 9bXoI!LYQf�}
�w������AAv65��)Qj�yc�'��%9
8!�:�j�$;*��z��_����H��M�����ZE��2{��U��Zk�?~%GM���^��n���@ ���p:]��G����k�sm�H�jI��� i2��3������j��
k�}b�� �d,_B0���f�����.�!��.s�7
���I���]����"��$�������,/�s�$�"�9�U�DE��*
'����P�(�~��V9#������W\"�{@^\-�%�K��G2�[������Y����=�������
6�jR���j��g�%K5]����[�zK#n�8�� ��
���Gq�&�10��O��P��c�:���m��O��C
L��$��K�]�����^��^r�-<��8>����K�}��'�T���<�`��6�X8n�\+I��A)(&B >]�j6� J���M��E�
2�0�-��t
�9���m���k�(�{:c7w�H]D�������`m�u�u������PmE��V���J����M�m��O�
R@+$�������n)Q���=7/�#�;
uS��
����$M��n�\�5u~����)��J����1�-���J��)�)���p ��M���Wc]
�-�Gu�t�m���s�Tnn���x��k���s��UF��$
���"A��A�o��@�(EZs����lZ�j~^^B����}�T�&������f�����������a��WU�NBdt��uG��_RA�Q'II~��`
�G!X��P������6^=����,I��\~�����?��Q������
R��� ���iF���1�QY�]�1 )@?�����D2�9U.��U6�K���w���w���Zk,���L�q����mLYcZ�����qOI���T��k�E����x���
����~�;�~U�_>)yx���r�������
�<��0�d`St:��kU�op����E���i%������
��k]��% ��������wf7�_~���:�H�P���%��4�Zjs����px�8v/���Ts m��������6L[�Z�����_
�3���Vu�l�Yj*�k��Q��A:3�-�|O\���^��&�q#k����
��V�q�;Sr
��7��.�s6uy
F���1l������+��\�7J3���(�9���R�=/��0SD�?u�S�����j`���7�k�����^a�)>��Z������aY
�i�
`��y�/��Q��I�^�����"����"#u����NR�C8M�4���,�� ���\��4���������H��7�l
�jp�t���IZ.���U:j�n
�W[��;�����H
�e��UYQ� �p��Bq�J W
���%���� ��-tgb7������/��u)�-Wl��
0�W�H�������+0�6��pi`��0'�����A$G�Faw���kd�����X{�X������y�Vg�����$��iY�I7��Aqsa��V�Z�Ub��p���[K�Ws����_"�� ��]%������n��xC�Y��G��f�@?�� M%��R���_�#����� f�����J�����~��A��F
��.C*7��L�qB��@����$
=��j��"�Y���W�)��6 ��*
E��>�4rR�S
����w���M<��(��;���VW��Lt
��
�+8R�e�������w�2� %j��(PW�h�6�
'��hB�j�����<�
2�g��AV(���J���H����|�sIL�V�U�nlP�6a�B���G=��r���T�3
m���m[gP=w���K��R���JE��&�G��S��q/�{K���U�g� �y���|Mx����G��_��^������{U5�9��0������������+�-2�M�����Kl�j
�<�+�lW^�E}d�[�:�h����%m���:�n�����3�j�2(������SXHe,�
�xH��X�/�����'X
tEQ(u��s�@����+GrS���l�lu<��t��:�q�R�� ����6�>B
Ku�rgHS���m)%O���7���P�I���oM����rP4)��I2����. �6�8�P�p�����>��J��w�!r�u��dC�g�^
������)�J%�.��c/�}����)�!c\���;PW�qg���� Y��$��u+Y�|Y �_m*��&��>���6�T��
�����Mgb�
��B�J;~db�
�}|���`��������U����
�rv����*
R�������z*f������-���:��;��du���4&���
U��{�����������
����_c�&��/��P;��saV$nY3�W��q���qmHB��i����L����E�������Z�9<IJ
.��@��W��jt�;����N��X�L*���]�#�:/Q���f����;�;w������s�����<���T�(����p��l���C��^C�{�PS A�"��$U��|r�'���
YW�(���JR0P�9����v�� �qefR�����2 o����SY��41����l��������J6oz�������_WUl�V8��t�*�L�.�q�7��>Ny�;)����ZFC��I
�bl��
���SG��_��HUZ d�)�?�K�jZ-m��V��1us$�����w]��]�x��e����X������
(����C*�2E�y�Ac&0�$~9����6>���ruz _�w�r%�b�[�sB(1IsN��5q��>����s/�B�d��h
D�$�
�(�Z@��F�N�B��.���D�9'Hx$�#��$��s����o�%}n��O�|$�2�{X��p
R�M�*�,q�������,���5��'E��j��<c����������������h�+����<u+��S��ku�xtL��^�����t���"7i(�=�W���AP��o��]�te G8�5B �r�k{jS7�
Y>W"\:�J�c��S�x ����������
�`H4�y;����u���G:��,��=�
��t2�-E���5S� ����7�`��\���,�+���4���5�
|Pb2�S���9 2
� xxI����a��@P�K��kR��JL�h����[�����7�
�k������Q�YT�P� _���2;�"
�L)Kt��W�pT��1�Y�2��oO��j�v��Z���qr��Z s��$��nx���$$Q1e�5��Me=�x�����
��,�q��&�]s
����>�'�A�
;>J���^�
�k��F�P�w��F���c��0�����*�/��p�i'hP��m�rRJ��$(m���K��u��]��+�ecW���N t�
e�@
�!P����������
UEt�������J����e���aii{?�k��E'�L���h:<n��.#
�e���b�Z+��I��K��?)����M�:��
��)��5S�na}�C�*��~��:H�=�S
phw1%�p�K��L�c�%���mKz;���q������5��B��+ �m}�p�E�J�=}UeA����p4��%�����2��s�P�0����r���mG��MU��N6Hn
��z"0���������}_`bk�����f��z�N�2��*�1cG����& �u�-��=���X&-�K���)d�^$U�������w����|9���P�mj���
�al."�P��e�X�\�����E�|TOk .O�R��r�0�z��K��_%o;�����
*'}q"����f����*��V�_�*'+�/(�fI�VID����C��rH"=�x8�DHE����K3#V���W[qk~3�3�-�����<g[m�M��N�p��7��I�X��|�{�%}��Ewn�#�W����4���E**S��������"%��,*$�K�>��..�+��������S������
�P[������J���������������%���w�������_Z`X��-o[p��Z��*%?��fB�6[_"��-�L����R�TU�2?�e
����u�I��ot 4�B�����E>�c���
3��x����8(v�$bf�#�������W��f��:,����b��\��v�(�t%=�u�
^����<�O�����������1ON�0��������&b�21:��)�`�^���JO/�A����5
�����Q���+�3�����R����<
�e`U$��.�.����
V��@��#�����D��c�3R|}�R����)�f{:��k��k��Pg���w�7�Q�w7����6
�T��}2~��V?J���o$�}���Z�{<���1��!� �;I
u�U�&>� ����S��g���F�#<X��j�#��|3K �<orP���������2��DhJP�S��zq� T��{������>O��)��(J�������G
u���r
[��`�
�E�|t�%��x����A����U�{�
���
+��&��J�g�?P%�G���Z�+R�
������=�
o/���s��E�U��f>W��Q���:Y�sx�B����&O�U9�EK�;�#����:���P���L��g0:�m#��
�%��d����� �B���i������R�V ��SJY���R�`�O�{ej�%0N�����6@%��"wV
�rh<�JEE��coP��9��\�������K�����-�����Q�e qT�4������s�
���M��I�v�J�o{�]!�����
MA
�VTEU
����h�+�N.RN��-i_�/%��s�!z���Sg
���PC���W�S�W�� .r�����
��& 5e�?^��M���X���Dv��K?Wc����>p0�H���;��:�N%�`���\�PL�� �B+��2/ C�8r�l��+�Zd��J ���-�h��gH�y
GY���B�Nj���$�����77[�X��t�pumr����~��M������
���w���Q}������*��)��m_+
0��Gg�h��T%��t\�y= �+M�.W�.K*.R �S
�Y��]S^dU�?Ms��9��<�/|�hs�}������l;pV[��>?@K�WV4�%����e�5���I�E � 1����������������������
��-�0�On Fri, Jan 8, 2021 at 03:34:23PM -0500, Stephen Frost wrote:
All the tests pass now. The current src/test directory is 19MB, and
adding these tests takes it to 23MB, or a 20% increase. That seems like
a lot. It is testing 128-bit and 256-bit keys --- should we do fewer
tests, or just test 256, or use gzip to compress the tests by 50%?
(Does every platform have gzip?)Thanks a lot for working on this and figuring out what the issue was and
fixing it! That's great that we got all those cases passing for you
too.
Yes, I was relieved. The pattern of when zero-length strings fail in
which modes is still very odd, but at least it reports an error, so it
isn't returning incorrect data.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Fri, Jan 8, 2021 at 03:33:44PM -0500, Stephen Frost wrote:
Anyway, I think we need to figure out how to trim. The first part would
be to figure out whether we need 128 _and_ 256-bit tests, and then see
what items are really useful. Stephen, do you have any ideas on that?
We currently have 10296 tests, and I think we could get away with 100.Yeah, it's probably still too much, but I don't have any particularly
justifiable suggestions as to exactly what we should remove or what we
should keep.Perhaps it'd make sense to try and cover the cases that are more likely
to be issues between our wrapper functions and OpenSSL, and not stress
too much about constantly testing cases that should really be up to
OpenSSL. As such, I'd propose:- Add back in some 192-bit tests, so we cover all three bit lengths.
- Add back in some additional authenticated test cases, just to make
sure that, until/unless we implement support, the test code properly
skips over those.
- Keep tests for various length plaintext/ciphertext (including 0-byte
cases, so we make sure those work, since they really should).
- Keep at least one test for each length of tag that's included in the
test suite.Makes sense. I did a simplistic trim-down to 90 tests but it still was
40% of the patch; attached. The hex strings are very long.
I don't think we actually need to stress over the size of the test data
relative to the size of the patch- it's not like it's all that much perl
code. I can appreciate that we don't want to add megabytes worth of
test data to the git repo though.
I'm not sure how many tests we'd end up with from that, but my swag /
gut feeling is that it'd probably be on the order of 100ish and a small
enough set that it won't dwarf the rest of the patch.Would be nice if we had a way for some buildfarm animal or something to
pull in the entire suite and test it, imv.. If anyone wants to
volunteer, I'd be happy to explain how to make that happen (it's not
hard though- download/unzip the files, drop them in the directory,
update the test script to add all the files into the array).Yes, do we have a place to store more comprehensive tests outside of our
git tree? Has this been done before?
Not that I'm aware of.
Thanks,
Stephen
On Fri, Jan 1, 2021 at 01:07:50AM -0500, Bruce Momjian wrote:
On Thu, Dec 31, 2020 at 11:50:47PM -0500, Bruce Momjian wrote:
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diffI will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.I am getting regression test errors using OpenSSL 1.1.1d 10 Sep 2019
with zero-length input data (no -p), while Stephen is able for those
tests to pass. This needs more research, plus I think higher-level
tests.
I know we are still working on the hex patch (dest-len) and the crypto
tests, but I wanted to post this so people can see where we are, and we
can get some current cfbot testing.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
key.diff.gzapplication/gzipDownload
�7��_�key.diff��<k��F���W������-[
�k;�/q��x76�E�$f(��c�
��_U��dS�x�,��FbK$����U]�WY�g|�y
o<Z��g�����?�-Fo>��A���.��5O�p��g�
�����3����9<��9�b�Z��/��k���.^{�����������`4d������t����`pq]��~���������� v�,����
���>,..���
��g��v ��$���
~f�?���� ���^����wy�g���X`y�����s���n��Ga^�� �l��`a�^yf!��5�L���f<�r��a9$�
�`��r�a�[���5��p����
�� �*/�
;�@�"��G���$�� V���
��X�
�;TLu.���]��
t��T�
�"��m+��C������;�������9m���|��y���8���OQ���
�
������(5��`���pC�%n��E}9 �jr���z�z@mj!��������U��
��D-7^2X��y����]�6u��w7q���sA��M�T"\������~����D� 8�K���n�G'vi�i/������ws��������J����^�_5E�*������rp`���8�-����Pi�5�x�>��>:{�^���5�Om?L}�?l���9���}������[|*
X��
?I��w��o��\Y�Q��������
������&q�%FC�y�4vN�K����4��K���n����G��v��k�d�
���mX��8��~��^�����,Z�*������������pD(��I�"��
���������������j�e�>E@������$Ct��q��M(�v��`��
��SpHf
[\�S`�H�67o[�|��
pu�)��gw5Wf��~�
��,'��0�������c�5�x��<��D�ai�du����n�u�.�b��0���$��euW9��*[������5�kP^�E�e�
����?��M��8XW�6�j0gH���Fu0��!^�@���Ac��{,x^����j]
N2��k�Ie9 ���o^���?k��\�6��
���V{��
��)������n���W;R
�������9}FB�<������1� ��B����O����~�dm�c�E0��q��F�la8��p
pD���U 8X��rlV�=R��)�t8o�����������������e�t�XX�>����Q���;/���� x�0����8r��
Y�#..t�^\�f��]�/��������. ����� x���[��d<^����f
�&�9
�~�>���_��p2]t0D�����E����e�)�
_h��92"��,�Y���������yW����U�?�8���8`�2/X��q�
�l�CV$t"O
xY���HK�"��Oaa������=���Qu
�v�E%��U�7/��K����@������������}Z��@��>�!
�_,4�$c��$�[�g{���%���yr��J��(2������aZ�,���<:;,O�%12���B��K�<:��/Y(#n���Da�Qf�^��v7�hEB��b��>Jf�������]\��3X�
��+����'�4��>������X�D�����b'@V2;��j��"-��PA ��s�����A��r�\�v���������
Y�&��t�SG $'qt��t��&A(
���!>�!��7�-D���8q-���XT�6�%7������V�0&�
�V8�p
S�����,L�Au������4��;a_���?������,$�
��y~Qz���wG��m�j@pV�RV+N�]���v((�HO:,Yc��[~�� ����C��
�
��J�����*� 2��
0�V��.d��b��D�����h�5&�AZ����qFIp�������/?�y��C =��da���',�p5������=�b��b����
��^t����[��u��G-���@_�.6
&�GN2d������~�g�(���O�V����A�v%�{%�T�������l�WwQ>�
���rI������{z������ N��Q\����8,#���d��goL�$G*����R�������r�BV?�����t~cE�
I�\���WF�Sr��yzu�eDZ���4l�W����-�r��$��\�O�j\���[&�Uf�/�)#�0�G�Y&m� ��9(~�`���D�JA+!|�}I�XG�3�%�m�������p.���
���}���,���*��d\e
�-i*�:����EnHn���H`����U�
����i�*��bfF�� �������.
o������&��
�{��i^MBp��c1�?O���y]�)��j�IbyV�d*l�H9���`��t���=<
:��b2����|1�wfc����#S`7Q�e_}��
{���Q�;(&�oE+7�{�~x��k��_�=���(^<������!|!��
��@�E��#.4x�������","~�**����B��F?������/�[�����
�C��
h�m�w}��
��+u����
�&�^<��o��P��f��v����Y�>Y�<%ec@1~y�1Q�K��r@H
�^v8w������!X������A���)�rD��h��>���7!z��f4?�3�KQ�#9
�;n��8S�$o�gA
�"���(�UlV�Ru��
��*�����w�$$��<�\�l�v�`�
�����<�;m������[� ���M�������R��T)�1�+����U�'�G���3������PH�
J���� i�B�a���uP�x��1ih7ua�j�4PVPb^��R.
�����
,��*����_6�T�V�zn��*�-��W5�T��������@�\���}�x��Ndwk��� �TS4Wb(c���ud2�r{V�� ������fK�E�Ws�Ut
�2�~3Y������E?
�#��$/�WI
��E���<�Q���CQ
��r> wFT
�@��D�:���S]��=~��':=��p����~��Y���?��?�_�$���Y��,`G�S���
c�
"������y�F>���� of�k�,����W-�:wXd[�~�T�O�Lf!k0E����vFi`������]l��HP��m�A�q���#0��0:g�ahQ�J3b�������(mrj
�����]����2x�F�������������@���XhHeQ�,����N{��{�"��B��8u4(��O���g��0X��tn��]?�j�uL��z�A�i��
�����O���
u���WP��`
�,�����?��5�f�&1?��i�
���Vm/hu��%-3p�
���v��F}yH�1c7\���wG<b:Z�J�����\��jW2��t�i`��IL���j�������v��l����"���8��*�4�mo
��]" �[R����;��W�����D�%���~n�o�FNm�����}�(C���uW��0�
�Sx�%QP�����
�Og1xI�S�h$ ���p�T,��AKX"42��.�Y�
�N��d�BF����}���c�1�@��
/���W�53>�L�aq�6K�H����������-`$::|�
B��Jx�D��hk�GX d��S��I�FC
C\O�
��������R�E
��4QLS+
���A�(������$����Q�jw=D*����
Q����L�"~�l��@hTU���v*)��#q+�m�A� �Y`
@��d��HQ����Wb����$>���y�
����S�[�\�w^
�W`����&u��"n� ����0M ]Y�T�����&�@��B�%�Z$6i���#<����
�#
�r����>R�%=��5�=�@�p���x� ����$�'DAD����-
K\Z�\�i�l���c&���aw`1�m�=Xm[�c�[��^F�Q��W��
��D;���
�n�w���U
�)�
��%*�l�����k�z�Z���I`ZGE��j:��CM*��vW�z��[
���4���y����<��T�g����tO�P��� J0�mW���_� ��X�\��Lkg�(�X:�DH��?���0T�m���
���q���f�w��"z���f�c@�o��k����
"���5S�����^
� �j���n���(��`�:��P�c��4���L��
����KQ��)4Z����Ze�"�S���u1&�P
��U
�����5��A�+�NV2����N�z�c�s����4����tZ��2$60]X�
J��D���� ��[�����J�R���?�������*k�'>����i2���< �> ��?�d�t��s7!_5��?_�{S��Vp
��d,��|���mo��/>b;:��'*H��\xI�(d(�+�@rD�
%<��K��������5r�R�d\�����C
l��Q�����w_�YIsH��8�
B
���dI��)���
�
6\�D�4�u�����
�������F��vB$,^0�ep��x�b����l�d�/�\��V�Y�M!����
J��^���]p5>�5Qa:g�����\�fo�����
�cm�����#7eoe��
����^o��m&��g����*G�����Z&Kl����ka�?������?�{�~c�����o��G��
�b3K?
U��]�}S�q������a��z�R?���h���.����dd���q��%���E����>�n��
����.��/
�O<�h�?��K�B���`4L�G��D�t�!���u���u�������E?3�0���i ��+��
�T��ctm����{dO��?5�Ux�'� 7��KO>5�����N���+��[oKN��
(��&8����c�K5md�2������j
�i�[����M��J�%a�zU�1q��0X���f!�1xI���
[�(g,7���c"
���D&�<r?bR� �X ��^e��&���^o��y����S�"q�Q����a�?s2!Htoi�*x1�'���C��<T����4b����(�p}����8����_8
�x"�HX�
���I�1���I����� ������M�r:����S��
�m>D�]P4����,��ZDo�
��N����b��MM�
�Mubo9v����G9xq�
*��]a*��(����N4�t��{�cn�
L%�Ig�f�$}�%���c#�V������C)��S`��h8�M��n���M~��&���&��&
�
���-�|�����O��T���
�}�������I��E��/�6~��(�zv���`�?�������qWb�J�����:��z�h
~��
���f2�o�n�F��D�G���h������
��=$2��b��D��1�jw+��1/Vr��L���<�H��<��5����n�����>����M$!�����l@�x_ �5;!9�,O�����n1E8�
�.B�D&4O:�� hB-�8J.��
V?�p0��S�W33gM��nrO �A+�6�km�h|j
x���J����8����A�[��G
���,�K�����+q�L�0���.�������
m���\
rL�?\^FQr�?�P�9ul^�C���?J��uz�)vqd�����9)�d��:�6���C^4��9^�O���P���@Z�^%)���HM�a�N��;�c�s�j0����� ��
��0-N���
���B�<F��t�o�b
�S���p��O��3W9��7���a7
:w
p�,'���g���
Y��Ck���
��V��TS�8�RIDl,b<�>��|�����N
��� J���q�[7
�}g���&��wI���p�7_�*�
�8 {�� "<�k�����������,��U��
���G
p2iUJ�T�Q�R$m
�4sM���5y�h�o`Q���7V�,)S����Q�U���H/���8><w�;�k�U�h��9P�E�{�$
n�'���8
�����6���>5�Gx}�s���>�mQ$���Y}����k�����Ji��_���k,�gP��B'�1CiW7����� 'Y���Q�w|��z$�+3G�������J�xB]��8vJ�G�A�!:�KeW�~�E�����j���
����������
��
����C�S<�����i�F�I�1 1EKw? ����
���.�����������44�2w[
5��
��*$��g���f���Rx+�|���`O�������m��|fP)�����n[������I����\����Q����Q8
U��c�O�8�uQ�3�i<����r�a�m 8�l�����!U(��:����yVD��U���s���%�����X���ffF�T�w���z�0b&40�����U�������_%�b��6����VR.�>�:���U���n�c��{�
������d���6�:p+���r1of�c�&�}�z}�
0g��3���v�U
�w�X�]k�
� O�����`�;�rZA�r]Eq-vF�2���
S�t���N��M�?k��Vs�(4&��*���0��B���uM��M���@��X^����RlUn"�R
�}w��PE/��Uc�UVmv�I��:��N���6���~���v�*���
>Mo�8~�|�l�/O�o3[�� ���;����v�$��>��5
���=u
��]sa���������g�������8K���tg�"6��������ef+�t$(j���n�q]&eI��e�YCYP�e ��C���K��uq�;��b�cXi6��]zi���
�E� r��#����~��z������C��^ts��ku��d��6
5��6�X��^�%f=�;zyt23�%f�8���Q�����\���^%=��`���T�iz�D���t:�X�B�hi�
Gz�6e�x�{�0����~�b���+�
���b)��~C4�UZ�^L'=����#q>��{�:��91��_.��_,��yb.��k
�Zc�\�P���5l=n_R��$~X�����m;
�T��s_�I�����e�z���o��x��U��q�7
�s����
����2] �2C^���:�6��7H���|����CW�\)��������:��V������{���xQ�����[pt5��B��J��\V�,D���r3���������u[S����}����p����0�<q�S�I�����EE�w//��4��w�����$�6�`9�
�?��5���K� ��{$=�~ ��{A�� }]�w=k�w��t@
�7<'�y7�lq
����U@���i��t�d
3���t���P{�d:7���U^����e��+k���m�Uz��\��HR}�r3�k..�f"��E��@��V���1'a�M"����E�m�,���_JZ�>�RP����Y@��>�@���g�_5-
�i�����r�����M�-������l:R��!�V+����������e�WU_��������~�~\��vP��SW�\��b��j[��Rk��L:V�:D��;�� �viL�2Lo3o�������I�Y<3�N���e���*���h����h
3��QC${���
�5�9wH��/2��O�4J3�@���HcG���
6O��\(���1��$��v��S�h�"� ,��}��&{�:�j
���Huz���.cm��8������������
��)�^�?K�`Z����J��e]��iY�;m�R��n������A���:�����[�����#,K������y����nO={<Z���XnVi���e��*
�_|��
��r�|[� ����]����l�X
��Z)e���guBX��I����
{�`�:�����Uv���"
�d{@;w
?
���c`q:���.� ;����XS��]6\QYz{���<�xO��A��������
�d�VV�/��F5���
�A6���Ppls�����58��������
���
�
��`**��������qK�0��g� W�W���3���.��L����.9
��)a�+�j�3
�������NN�gUe��!�e���h��i�25
f������I��t��~|d���j��d/�� ���3���J�z+��w��s�s������|����I��2Dm���u;U�
`�4�>Y��\�$�
�.K@Re)��Z�;k~�oK� �����q��f�_�l0�������V3X�q�Y}�vpxz����������9�M�v:V?�d�����|��5l�>p���� ����f.]����o�y���������nd����Z�?�S�{��������<�������z�s��~�������O\���go~���s ���i����w�c������������/����;5]T)�[��j������-[ch��i%�76t�R�!0���
�W�`�������N��������f��x����������}�l�����j�����7���/_�����Z_0q]J
3�U�B�E�g����r�ukk�����j9%n����*�g�"E4�}���������=����w/�{�f��
2xV�k�
�����Qp��� tK[]C���H�����
j:�
5{�����_����
���@GU��K��,���8Hc�/�x>t
kG_'%�|������
W��K��]d��j����C)����r�{�U�S
-��
�Wl����������2ie��9�=�ffF��D��[��� ���0�$;�z��Z��V��������z�o���9�KZ� k��J��H��RH'��f����^�����L�����6��H�H� M�.G&����
s=#����{3H
�'�[��L+�x.
��|�����(QC�Zk7���t;�Ot\��������N�����?��h���������^���V�
��+���X�����X\wO� �����C�U�E0�
u�3��f�
l�����S������5I���V�G����b���u����Lw��-�
4w�~���>�[�L��^��<�G�j���h�&/�����{n����X�����xZ�y����������
aB?��O|���3l����R[y����g���cun�TA�T�[�!�^�S���UJ����{uD,
CN&B�+���T��up��jgo����s|�W���Sj����Z�'����z5Y��P�s�botpx�r��r��o�#��������
�Y���{�Z�]���Y���d����[�6�6�)����K �V?-0�
��t%�Y�9
^6��~�z�
f�B�����
�
d����r�������y����� ���*�
���8��im��QJ��6�hV�2�9 p��{<[��l*�a��|���������
�}��f���T�QY��
^�O�"V����K+�x=?���4N���4T���)���E��L���|��Gr��� ��>5j~��>������0t��m���S:�g��>�c�B���t�
��
�������I����
��>�%��FF
�����"lY�clD������K�!1�=������E9��su;��F�h�?��5�E_%
���a3
�D�
������C++��\�
�)����������}����j�$�R���|����Q��cin?s�����H
u�Z�����f�OM%"_tr��S���:����u)s��/�9�7�(�
?���O��
��P��������*��i�`3��������-/���!��Z���kk
��%�
���p�/w��b���W?�����������z��
4�7;7;';w��X�������%��C|*k*J�vAdB�
�x`�t�>���������
1�����������������S3�Ke
g7C��7V��@�:�5�&����xw����5�(����j^��zm\~�_�[;�J���P�6-}���j�����g_��{��jZ]�6���Y�Z��O������x#�%�������=
�������� j��w�@����g|�e�e��\����
B�$
Bm�x��`�Il���J�������*�U@�X���lQ}:e O��0��3 q:�)��v��ln����&�`
�EOh`����������?�q~\n�;I4����M���g_
������[������hc*
Y
��I�}�d{�����������n�_L���9������P`�� v��\
�i�^��(m��5H��-K}Q��q�x��,�
<�E������'�����
W�c]�R�Z�:����u��u;e�cz.�qU
.��{y d���6�x>�Y���r;�G*�~���D:93�Y:#(��-H����
�Y��������h�k���W��+,��X���7���o;���u�����m�����U���3W�a[s��:4Q�<$��0fi���;���
�D�8��9����'�*'���L�Zm�� 4��x��v��rw1�nS�� 6;_@��^��q���;4��{���G�x�L�������
�
�#~�����4�W�����W
���W�5Q�
x�u����t=�����>xL��f��bP��6�&F�
�"#������rE��#��I�f�V�'��?y��I�"�I]���j��;����wO�~�������N�������:����j��U�_�%q�3����n������V)P�o}��w����z\9�?��V��_O���`�����@�F�6E�v(
w��^����z#qJ���H��9�4{���!��+[[�*z��I�V_M��~��e����*�A���Lk���k���z����
Me�[����E�-�Q�~�W�/l�������v������������� �1�m�
���C�{�/z��hC_�9|d
��9�M��dF���o=&_X�z��,O����}��D���7*� ������W��-
�X��
��M�����1�A����3��%S��ea������ ����d��,��Z
�g���*+�������u-���d����l�f@2*3e#��|<x4e2�
F�3�j����r�[~��k����
��������}�v[_�=�9������F�c���^���3��Lw{~��1����� g���SK�\��}�\����������v@M�k\
�
�:>���z��<o_=�H�~1�oD�D�
������4��5��G?� ^��%V?���>��>{�u�������v,9����w�\��|&K#����-����
�|�xl�����o�A�c^��~���������?�[I�U�n}����<^��
������W�r��W%��}�&X��~�C9�`<�|64t����.�H%N�}�#��/������������ �
���\
���_�
��q�f�?(/8�==]��<q���a��,��]k����
K0��(�� �r�!��zi�?����� <��<�u��{N�����.�9����C-%�������8��s� ��g���Q��]6���>f[�A���<���k��
AI}��o�N
�nl��8�����f_��� |;���k����,��4����Z�K��� +{?�����!��B,�
I;,6su1a@��[\�^�g� �~����8S^��^�����������V������p/;}y>��g\i#�n��jf2���9<��$�E�������f��?���V�����_`Qu���gA-����%d��h��}D�_�Z��+V .~=������KL��q�m��_���!���q
��o �E��4����
���w�s>{�MJ�.���
pc�aY�wf[��`��@%�v�O �i���k>��Ko�j�*2�F��,2i��x7f��N_d�������
�������;:��Y��.��i��t|���e0�i.Y"S�uz{K�2��S��P��d�C�7�����$��������!$2�"lv���b"'��B\u���
�bz� Wu�������hLY[m�z(����$3�b�����������(P���y�`�7�E����>���<P6$�+����>h��Cq�bEsy
�? ��r�� f1���z��
��-��s�p���4@���V��j���g>�
���%�*c~� W�*���p�����EA��>V}�c�_|�T�g�@��������5���~\� � 7.����N
��t���D=�
����j���,C�s��}=�KP�
a��Dq�C�|�,J
��+��fjY�f�o�2���=����� ����e�� W��9n�0!����i���i�����<�j���&���i',#=� �a�:\�D�:`l
V���� Cu��j��
c����+
z��!��K�rk}����2[O��V�jR����M��2�7��2�����
�S3�D`��YL��]��[D����`X�e(���\c���F��RFScY)�FDzU�*LU�YsQ[a��qv���f�'��n��on��|�rm��lW�z!qt�VX�����l�S��#$�
�6��A���p�N�����&���
�����E���+��B>l�l��z�Kp�dYl
�Kt1�
�J �O��_�
�k�fg��3������<��y%�oL��'���`��e1���u>�)���N�`H���U��L�u������������ v����R�C�0��S����!�Lu�I=�V=L���e�r���
�;�AX���������)�����"HR0: [���J�^��QX'~X�����ir>Lf��t���@i������zu���8�N�����O�HnRR���n&\
���������I�]Z&d�}�,
PY�R�5 ����)�� ~�(vO��>�"���3�1m�Yc}^1{S��s�)U��%afb ����"
r������d
�S�f7�Y{:Q�L��\� Ho��P�;Hl��V��F��
��d��
�Q��i=�6����������HF�{��cp��������Fz��s�Z�0o<
���y������x�R�pprs��rrt�SA���
������������^
�u��B�W^N��*��p�^>ujz���v�V�V��w����W��
S��V��(���L[[�g����;��_B��.����?x��u���v�nMu�n��d�N�|Z�?�xy�����4&;l�
|������m2T�g�TY�u�) ��h|��h^Q�[����Z���O��Xsg1�����Z��t�3%lL����6����"����`UW����k�?s����87���XD�[1��C�����IsP-����+���'w����s��6S�k������e�����]��jd
X:r �uK������:[��R��]G99T�a
�|����I���g��2%�����V�=� �7�$��Z� I����xe�k^_�1��m
`W���0�P �������;d����~>+���9�Mv7�
a��1����?�/� �����z�K&7�qC���\:�B�������R��������&<}�j��]�x�Q-����xRt�������E������������ue���j� ��X^�����z4D����nfj��(�����0kl�sp�5Vvw�t��w�
bh�f4H~
�e���`�������j��V���Y]o��;*���4��S�0���}�����_������6_{����M�9�2���H��
���/��f���
y/!����eae�
�L�j��Z����!
yo�+^o=������*���;�S����z�"pyA:��r�Q����]S9�D������J� ������JX
���G�Q~�0�� �oJ#������Zo�N��%OL��
�����,
2.�����|���
����r{��lC��/�v�jm��MF;2��Z���]�# ���yX��Mm`�3�M��5�)�
8\{����Q��0K�9n�:J�)��J\�-���e��#���d�`����~u
�iZ����V�������
X
,\��q�%W��K���85�^c���2��J��/������� ��������g=�`!������M��
|z
1�I�����1nM1��+�n��l�
�jR
�V��g�J��[w��2~Y�v��]���JT�
����VM���
�TUi�
�lOmA}z~Q7��]N�ww�Y}�iI.y��Bx����}y�|t�{��j�������t�����NLH���M=p�t����W��ENX
!>Yv��&��c���6�o�
�eP�l���6E<o���Nd�)y�my6}k)�k3���)8����3��6a���I����(h�W�(U��
�8\3l�c'[oO���r�,Z����P�6g^�������[{� �
�����E��N^_���3k�g�[���i����W�2��Wg0wu!|?�IB���d:��~kY��":=X8}
������}n��`��{=����h��No+ �T��Z������z��?����
[����w���q�z���
oI[��HS��`,g�fvi{pnaW��R%�7�h�����[�%G��/�����)�Z�_lOo�}�!��lO�D����i�JG
��:_��ZF�yo2:>x�z�0����MZ0!���jX����[�U�p�
��dx���\m
)mM<���^]5)�0o����2�F� ��n�b9�����s ^U�$���,������
�=�H���C�A��l�~PZ���i����*��,���xg6
�xg���-�
��y�N�
3Z���{ S�[��a�y�^]\�UM��O�����W
��3C�r
f0��/�<�4��/��/q�n�1.
ZL�pA�
��C\n��;�xl����b4����T�
����%��������M�?���PU��+H7�V��>L�����go�8��K'
����W �q����{��OR����[����OcSy�AO����8��9�^k��v�.�-��G
m���g��k����M�z���������������D+4����.�k��a�Y|s�
���zF�J�u?��:���0xb�Zu�]�[�����[�������Z]3,n��w���������W!��z�-&Tk��l
w
/jc��q����d(�������^����z[���������[���/������z�
[��
���>���q��<����f$k���i����8k>�8��k��]���m\8�����(��]t-{qe�������Q|]*��/�V!
���������i�v
G7
}?o���z}��2������h:�%k\�{�+�7�sM*�~�N�9�M�����ht����_�a�d�L~��~�%~8~1���p��o�Hh����}
�
Y�Kp;�9�I��<�SQ9
�-b����������g�*`|�����~�w�z�X�J~�d0 ~������8��S��+��Ff����L�w���bL3e�ahs�q����-*
�y�������J�~�5�s^f��
ZY-���<`�O�v���;XJ9}w�c����']���������������f?<�W�����od��e�mM6�?���+yi�EN���f
�}��
���/�?��� ���|-�eR�t��L�_B��2��YC�.3'7u
���0
�������h~����������������w��$BXC��C{:T���v���{�t3
8�P7��i�N������I��)��
���0�-����]Y��!�*Ne�W�D���Ye�3)�UA�������VQ�~U�*����e�jrT}������d��
��9��!�iW����u{����Sp���}�Z��Vr�~}�s�o���*�}���~����
R��^l��o�������{X�������s�:[
�_3���M��/����8���I�z���R�?��f�p�[�:�������u�Q�}r?�j�8KUwM�-��U��:��}k���p�L�#^���/�.)�3p�I�=AT�&WWJ|�4���ju���&�j���3��nJoM�����O��V��>^uLp��7<����3}3yk�HKh�N������3������7[��_��������te] �ERC{�~�r}x�o7AGU��c���g�+�����3���
&
H�n/p7��6��� �t�������H� a���|�xew�v~:0��V���������2���d���olU(]�0cz���H����] &�o,Z��t
�\��dd��L��
�����scQgj��TI�W��|
�E���Wj���|�,�oa�����e
�b�X��I�j
�~�y�:�x���G
��+/K�3�\���c7%���,���Y+�1�|.��:���-�0\�+�3=O����SD�]Fv����C#�r����)��f����fc��� �8������>6����z�^7ii��O_Q�~9����#m���G�����3k�}5���ou3�fq�Z�4"�?n�����>��;��+�����K
f�7w�jnKG
���N��wX��G{���v�??;2'����B���?s���8�W�Y���.E�
X]D���
�F�r#�|e��\+;���v����X�W�`1<����;�e�~=��Q���6�{2&S�������V���]O�
U�2ZVO�M�!�L/��j
A~q!�j��Gv�e����n����o7��ng�
J�u~u|�v1���"}�M��
~�6����� y�3+�����:���������q�`�uWp��D��7�� 0Lm��\���v]�L]�����p�`��V�
#�j��-�>i5U���vD������;������y�3���;�;WG��;7;�;�������Z{��O����_����kQ$L<��M�~�h�1K&PT���~�
�%5+�����Z�K�f����F���i���4I};��y����>c������W��RV�`wO^|;�����P�6�~]�uO�sQ��g����vZ�3��q��tt�����+���'
�Ex..��aM�2S�iM����vxt��L��/�0�N;?Z����t����y�U��2�C/��2w�$O������7+��^*;+������yl������`�$�RG�����
�
��h/jJz_���I �O���;e�CT�*)�b�r�
nq�~��FB#���G��L�)��!���
@
��
�>��'��#��:r������ZQ�=i� ���cS�a���;��
��
�RF������������c�]=Mq#���=z���
���8����:��T?~qz::����)N{�6}7� Z%:����Q���
�2�2�D�� ���.@�����E.h�0|
���4��~g[������:5��d����?������h�K���]���'��5�3�����JL
��B�2�~��&u����(h�b$9l�k����F�V��
����b���|�+��vc������d1�����F_��}��h���{����{s��k���YB���w��ak�,�$��Kw���y���V�G}������]`�'o��H�f�}�����0ti��D���e������CA��
��
/���7=i��6���i~{v��H`������X [~����k�;@�
���#����l������G��r|9��~+��� Y���q����;u��/��F:����0��7}L�-�����5��N��m��H����@��E�_!�
�����f�^�]
7,�%�ti�~U9�����.������'����:�7C'�G���Q��#���t^��^��{&U���ZX�S� �_
���{�ja��e�_��X�c��y�/nr�E�`O��l:���.��g�����:�$&[\d:���Z���Th$�E2L�wt��B�[�vs�w&����&��HM���,��w���R8�_=��S���O��PJ�d�������M���['�X��$2m�����Zo��������&MS��E��Sm�g �R�sd�*�}c��N%WI.��}��[�v��/���G�������vi�P3�^���5X�M�E����
��xX%���Fu��1C���
8'G{�
�������o�j92N�H�5�St����\qi����k"�&�"����� ~:�������t� J�JsL/
�"S���9:3�����DD� D?����k�������A���b�KJ���*V._[��0�1��ps9��s��S��pW $�qGW�����i��>�^M@���m(��
��h��������}`
���L�y {��r����|5������
��>[�q��#^�f������{�_���n�P�7��<�G��m�!L��Q.�7�t��fs�����i�yw#hzpuk�pEjT����3u
iM��������Maf���:����-wUl~;�?�?
���J���[�7L�$k��U�����m�
��&?�x�7:<:�SG����_�[���� �2m��Q�`j�/��?��|goZ����[�f
6d�
L�s�P�
�V��^�Mz�<%Ri��Y���X�M�����/���O�e�`����X���(2��U�x=�H��9e���
�
5�H�����40�sI���t�CG�T2�}����^������7[�C�t_x��@�M2v)��J�Ee�**�X1�S��������v6��
��o��`Od_
�xqp�b����gC;xJN*n
����]]dq|� �����z�L,.�y3��#}���_Y�wv��v���v�A��v�-'�fF\(�f��v,C�#.���QUc����z}�G��O��]�
��&�����Y���i4=��q~z��?�A�����u�|��� Y+gw��9P����5�3?�Z�����|�O����u�����C�6�?����>��(���- ���U|�����u3y[as�;:��I�U)|��.�\p�no�}Tk|�
�5n���}�UXs
yK\��w���r�O[3�nZk���7�[�n���e����3
�K��j�ZY�Y� �����
�<`t&�Tq:�b��U�=�D[��O�2������GG/�wR�cf�%�H�����U-|��<�/?O�WZ���6���DT���
��R��u�S��xZ��m
����V�fJ&����P�rh�ZGk�
Y������1�j��F�3,
xN�I��I�1����7���&7�#9����'oZr�Y:���������������j�RO���b���0*�?.�)���2����8��4������s�0%�Z`
���"c�
M�$H����
����A�5E9����@ j���.hq�h��V��|�<��r�n���b�����>6��e�j��<��j�����2
_=y�����g3 U
6(��*�����b?��"t�bj�������o�a����������Y���������s����:}�����S����]�\~d����
�x~J�af��N-sY���>�8���@6~\0�T�O�f�1���t?'�l,_�xNTzA>�|�����V;�
�
���;H��h
-
���j"K5��b2�4�gR���%�I�J�D���
9��
{�i�/��#
�cZ 41X���� A=
M�� �y�����^�g$�
R��L��5���-^i���p��.����5p]��;����Y}�L5��a&"���%��Vr������;�m���]�A�LcQ�Z�gM��*^��9Z#]g����l|;��eP���RI}Q��JJ�� \������}�q�u@L��-���y�*��J���@��,��
}up8���W����N��r�V�}U��&1�]g��g�q[�Vu�e�����_�k��V.��[9�F�t�g�����t���|��J/���\����S{�~�_L:��E��]U��
�E�+Y�����ci���_;��X��8�nZ�bW���ku���o��n~0Ib�}j_f����{���j���?���N��
���]�
l6n�h(� o'7E����^�������t�O�]
��34
<���;s��@�O����
@�����n���yX���nXv�zF���������o����nu���4�S9(-1�W��X2,S��1����F����u�B���b���
���������$0C�Mt�T�q��u��jo�Lj�42��������M���6�On����wV
��f
�wh,��L���3I/�xG����.��jm�������G�_��
b�����.�8i���U�\���*����]f��cm}o}zg�H���
{�3�{��GC`�sk��] ���use�����U�dV}��+�1WX�u*���/��
4{E��� ������
��=��%}e
����4D�|��s��cLwn�n�6���p�����M`��$�u��n1�2�����/�qv����`�y���&I��J���
��kj�UO�����X�C4���?[[W�-3�V�?����#��d�\�l�
�50��[��g�Y�KQ��kN��O������T����3��p��z��2����H���T�niI�l�������
�c���nX;���|.gJ�y�J��3
�w�%�+������I8m�i������p��2#�_��w��c�3��?�n�e�?�iB�Q���V��{K�TG
/�_
�=<'�{vz�����9)-<�2�P�/Y��<��A�
���KJX�(��+
+�^��0���h��\�w�����s�����tO���h���
{�1��R���Hs������d;��qL���9��
O�4/��������/��^�5��
��K
�&����i�I&��0Q6�o$4<���f����cj��� �t�����f�P�f(��
UWD��Z������4�m��JPs2���a�O�
w05o&��~8'I��I^z��|V�*
lN��
�7�^��A�WY
)��?���c���
UM������J����R�xc"�3��d�����\��� �R���
�a��"������q��������
�U,����{���g�kK7'b�v����b��'�����zg���D4j":�^����s#5����X���)��sUc��=��Ns_�b��ok�R2����jU����>�������^�}2{_��p&<��]�
�\��h
�����t�c���U7�z�My��R>T!%��r%�7�i�S��B�+�fu���TRi���G��
�j���,�1����F�`����
�.5qA���?�|������G���.G`�n�*VP�jE��bV���R��Y����c5Y�h��s
�I�H����dIj��'����*�Y@�\���D������m�W�g�
�[�����?�s5�
���:�����
�s�I}���_�
���!��-1>li��������^
�7w�����U�����6�������m��'vh3����'�D�W�n��J��9l���u�<���y7�~w�x���s����������������{�������O#q7
������z�7;|� �t��g����v���`=k����E~XE�7���g��;_��� p?i'���}�T��u7�O�
�yo;���� �n��^�{��$�Z6�(t ^���3
^��z�Y����kuW�1���g�f���Ju�vs�i�Rf�I6�%aK���p�E������:5�
���o
|� ��n��3��k2�{���_����i_����ju�Uqm`��[j >�Kw�%���`�Q"������qc\�q\���q�p�J����2�����"0
�$�Jmk
*�8���MNB�[����K�T���I��@�� �lp��|���i��n'<�T�o&�����������v)�{�;�L����u��&��h9'��J��I�(������%��{��x5���F���^�Sh�V�+�g�����*�NV���/�%�:Ysjz7�~[�����vX��m|7>�b=���+�-��~�%�����/xJS*X�w�[��"��_�m����Wn���t�����.{����6>f�\���
80s�
D���L�/I�-��a���N��K���X�iZ�\���U�3��w�k>��=�8~A ����=����������X�M���{G�����h�x���d0����#�p���� K>- ���
}�_:�mc��51��������mOx1�
�;�G��w�X��n��Q>4�l1����B
����k��z��W}���//�W�U?��������[����'k��K��������
�/�%��O�v_�
�
�8�}���*G�
���9c��O����2��
�
��wd�W�H ��1����jv�����* �<m����?Q@���T>h��y)����������n�%8Og��y��{��\(
K��-(�~��Z�(r43z��<�����{*?��]���[��k[�
�[�m������� �Z��TO���
O��������4
3�x:f��N5��]��2C��
M�n['��f�����!W$
�����t1���W#��[��nW�y
�u��t�>f
O��[_�o7��M1�V�+�����
��������������5�m�&n�,�r\U��wi�t�����K[��7���~�p[D�\3�n��s�Z�qAYq���5I
�m�
gF��
G�71�s�7+�������o��� �~��i=�eN������'��?���:9b��s���[zH�2���G�������}��������U ~c� X������za���Q����������[�h={?�������1��
�Mi���x4]���K)v�zoo��B�����4�Jmu������l��?�5�>��M�G�T"��w����;��^��zq�����c
j����r��A��>���u�Pi�9/Z�����im�g?�9����4��X�sn��f^� ����������0��?mJK����(�
O.�M���H����i]����zD7�>s9�n��Tg�L=��� ��j�M/���2"��GQ\KO�������N;�-s��7
�R����T�H����I��?��y5��zxtDG\��E�.d���6����:m� z�%�����C2m�(�L������-�h��x�:����`g�������i���3
/��������6?'�g8�b���H?l=���s.�������;
�<$v`c������vb�w/\�����w��|p}�~���4>���[#7�l�,��T��lw�V�A�
nC$`��+]��0D�{����[���D���������w���}�?���
��������7�j��L��{ ����^��_��
w~����(��[��k;�
��3�����l|��G���o��g}���n,3K�=K}(>���E�s����D��cYD�'�0�3\��`V��v:�\U���T!}~�j��p�c���E3�!
U���bl��H�
�i�/J�����Z_�����4��{�����j�{�5������e�n���y`�q�����>,g�]k���j+2h��j���7��n�<�:�����7'=�� ����� �k�~�N��\�]9��}_��f�!����`��8Gc����?���H��S�
cA�_�����{9����WS�M��X�+6q�u��a-������
�+W�@4����b
������Y:�B-x�a}�=_u��3_u��U�a�s�Q[�,�vO�'�X�O�=���� ������5���
�O:\��z��9$���2j]u^'8��v����F���T�i��]]�
�7L�� ���Ge�
x�`�K�#*�|���Xk���{Y���+y$gQ��
��
#��[����5�UnZj�|{�2��"&��H���;���;W��t���jo��'L�j����W�QqG�J'�}�9AQ���TE%d��t��-�E�5���u���@-�~u9n�F���z�k+�Y�tQ����������a�@gW�z�K���U.�������c-+@
pY} ���O;Y=�t�'�
���cT ,
ct|��;Nmb��?
�������)U6�z������e���Tf�z����q���:�ck*�d�Lh���.�j��444�I��v���w���f�5
w
�G��zC+-^����G�N�=���j��_? ��2����MJf�V�� ]�%��!k��f���L������ �1e���0u���j��
T�ss.�����P��Z������c<�����k�(lVo����Z��2�h���@(<��������T�&�O�j������k�������Ea��j�\}�^�p�-���T+W�m�o~�o�}��W}t::8����/����<
6���<�e>�����
����~
�}�2��8��&�u�2-T=4��|"-��U��hz�������dV4B��G�/����>,���Z�������v�1�WKeY�aa��z�fg���p���j>��v7D�
-��&�t�S�;�}6��C�x�v&z���*������j3x-���K�m>���l�_[��3P`�b��������*������_���@�W�LL'���).��BW�������4S���DW���LY������V�-ovP
I���f�w�1��������-#Xt�3����� �����������
��G�i���t�G,��B�Ja��[f�����{\G����
w�6��ns����|���6�&��c��7����`�B)�����
���\
���������.�?������0C���D�*@*Lq��R���Dz�*gR_RQ�Q�,f�����:����^w��N����Q(�5��s��Q��JP!��;�N�z� �Fh��%�M�D�&���"p>~�)L.��,��M��D��^13�
Q�� |����u�-�����-t��a��`cwfu@����$
�b������r���L�n,j��|�����PFwb�
?������O�����d<��E%|�i�Y�)�8��4�� >�Q�����������U�x����@����
|#��| ���l}H`h�mKf| �1��+�Oww����z�a����M�^ %5ths�����#��-��sA��
pL ��~q��"�y�������QN}
���m��
'J����IL�_p�/�*��^0�gd�W�g/:q�:���6��*6�k
����9�
��G<[�S_.pO��!�x3����{:n�UL���V/x�$AB�\O���P4�P'kY�z� C�������
�:�����e ��}���C8p��]�����m�Q�������5��Z�����O�~]�/��JC���,����n�]�`;��IF����Y{
�����95/�� ���.�O�#Lg��2v"q��$�m<
���� ��/^������ ���e��
O�e\���������U]��2[in��c�Q���|����y���t��\}��}��� Dj��]���������9���������zSY<��n.o�[�A ��\5�������gM� V�obJ��f
�i0PX��4��d `I��T�^(w���5n ����"4����-��76����}�-�c����f]
��&�?j �j�n�}][�
�'��%��{�bg {�����[Q�{s� H�|�
z��2��u>1���h�o�����+l@�����Y����J�O�5��*
�v���&=�-[�
m��
'�O������U����Q����K{�y��Z
�J:��J�Rh�J�9
WR���{�{
a��0U�M�M��) �lww��x�l���*
�
E���J���\=<c6�I[�����2��+!��o����]����70Z��v\��[�������D�&�����8�Pk��O�f3���)����Y���]��o����hKjV�i@��!�X��1 b�@�?�v^�hU������)���f{J&U�1�hO��]���[��Z��wL35
X�+G.K����P~�.�C�b<5�
���{��O&�y�|���]���H�`
�Zy>�p�%�]{{��8s�bQ`TG��z1.����bS|
����3�M"V_�?7)��kO+��t�g�\d��F����H#
����J�
���hd����?�A|���<��
��z|�7�[�����[�7������Y���D�Q.���y�� i��CA�Kp��`����5t��\^�����U{�_�$v�OG�|w�:�<�������t��z���d���d&4d�n�BSh�-�s���"�/ ���'f�W��~33��fU��Dr�_O2c��z���X�����;]�T������Z�xBR���J�� ������:--��R�-����[���Y��Nt��d����Wx��/��y���z~Fq�����������Mo��|�bz;����.xM���,���Z��1gMo�gwcvV[��|����� �+��J����k���Z5��a��Io��W/�i5d\;�5���RA�� U��/f,|ypH �D�T����\�l����
Q/�rj'�a�������
�����>���Ds��<e���������b~�h�����R�b�����a�b�E�V�z�������`�U(�[)�[����}Z�KTb�mV7�����Jb0!R���
��W8we�%Um�N,� o��.1V}�~�������Mb�������(����:���q��X-��������AQ���J��5���{�a�j��[T�y��;����r�~X?��=���`��!���;�?�6Z�_�����*Y�{(�2�u�����|n����M����Ak���x�!5i����������
��[���
5��=��I�9k��|gNe��2/��������.6��/�A�W�#�����5�E�5��B��&!�
����Q���M"}:�uE�O�`�
>5��V}�3����)>Z%��N�j}�������<Z��X����GG���/��,���`S��U38���Ho�
��L����%g�"�%�Ah�R��k<���f������F
��w�`�Jp��;{w%��M����������h��
�z�{5
I��
�E�����~P�m��>Q[U:]'8G��u���8*�{��MeF�@M|am��:o�^kZ�U��@<� =��[k��e��E�~�K��S��f��Sg�~�Zz��k�-������m��]F��v�e^�Ey�
w��o��
v
��2�����E� YM�%
�D��V�PX��uI����yk����S���JOi�Y}?;L���5���5������o�w�T {1�,������b�
kTh�����*W;�h���� r91�{Gr��
�G�jn�������h����h�T?/���
��
���1
%qP�l���m����L�St{�Y
n�]�Rl��=l����,
��}�uGbp�*��Y�|����Y�Yr�J��xp��nwfV������8}sw[L�^���S�Ku�W��g�WG���/2
sF�/���.U���}�}|���E89��)yb��?��^������d���43
�t�eJ�[�7���-1�%_=������=������f�qy4��N����u� ��Nb�8�K7��\������QPH������M'�� ���������9����5�����S�e��R�R���t���#�k��Ezw��0�Je�^u���|v
4���x�������,���!J�����8�F��g��H�O~c��D���2�W) ��
���� N�'��������\�����>;���������4��4�x�8
G�-�yK����-����O��\78�@�����s�d���l���{/T�� nyz��4���� �R�7����V��e����
��
8��#p�M�YH��'G�I�::y���s��XJ�w��_��vo�1��`8�
s�XP#���G�RmS��?�ER���H�Z[o�2�����8�KL
�#�K�����s��WoF
�j#
�����k}��{��o���������^�
��mR��>�J��p,���+�Z�M\z.T�T�LH0�4;����i����d��b�`���=��%��$i>af��<��p���c��������0�����-�s�]���� `)��4|Y�+���L���q���t�
��t��\wS:b
�|l �H-
H7k�BT�� Hw��M����J����.��k����]�;4p�%�K��:}������x�d��'u����u����zo'F]���4[��Ni� K[�"W�ty������i�V���_S�z�����z����p'��i�aLD�
���H{[gG[�G�g/N�O9��\�0#7��a�t�e+������
��>!��k^��!p�9�R/�h�r���U
"?SgtcL/i�Ze����0�����KU�A�8jU;
��=]�u�ECL�#g��*�e��p��r����WO
�yQ������e��K5�[\���:��(��<���S�%�<�{�zP@�X�e�
V1=�RH�H`K��������������������t�v�����4�}�AN��X����d�C���]O��n���N���C�U����5���: ���NL�������_������|��|+]�M�=_u�<����}�^��[���1�����T�
mo��*
D�;��6g������e��s���H�c�1cL�V�����<�����R���7n���6��
�������l�������8Z�_�v�jBw��wm#j���
� ���=��*�zE���J ���z���*pC'��< @*p����p��`f����]��
���0��/�zz��jT
����7�L�����Dn3�|�'��S�~S����;��
;�t<������_����n'�m�p����'Ui��A�~w���]:�O�\���`^��
����q����Q��p������1�o��7�
������su�nj��Z���1.T*����
hv
m}3�Pum��V&n�V��wS3iRi�W�{� ��
�
{�;�T���o���4j��Uv'�)s��t})-�y�
����W�T���
��sO��5^�PO�`�N�Ksn|���$RY��&�����=7�Af�M�Ms��f<h�~/���������4m\����2����g}c�]���F��oM�](��$u"}�G
[����i�xpUN��
M�7
�����:"�N��.����>�\e�d�����{�f�r����7�on'�T��{<}�m�9���
oh
����BO�\1�bd��K���9B78g����W���������b�g�H���z�
���]�h��u�^��?�������z;�c�2�;^���_�Y�
:�����_o��z��,����o�n����>o��o�����) ����������N��
i��h������=��'�V�O����F��(no`�jZ>0�
95 nt1�nRVK^���K�\�J)`��x�oo��)d���`��
�>;�=<�j�D�����G��;���PS�E���,��g��f���=�{����"=��w7U���T*��]����N�J�>N���{���6
5�:ML��������ju��
�"��
���Yk]���^��W�><�\ibu&7�����
�iU�o��N���C��U�/�O�1n��^pD����'�I��S�w�v��� ��B������:���E,fI��a)�o��M���/�0T�Q^���
����_�J���&
_�c�l:�����-dQ�����=v�kn�KN�!��?�Q�F=��%�������w�����v�=��p��1�\8�E���+������D�$�h<���R��*���V�M��h�e��
/�����������_�x��
=� �~����
VV���e������n���_���R��~3��u����!��71����<r��Y,U _���u���h]7V/}e���U�
�L��1��5
/����G^�f��uz3���sf���W��
[g����Z��������7Mvs�'�����lT�;7jx��m
������kcQ\f�����]����
/26�v39��z��������x�q'�����
G����db<H�����Z�^��n��J��������hT?�zc����J��&a
���o��0���n%���3���\�0Z�����G����M;���������
YA�l�^R����2�%����$������5���xc4����'�&X�K�c�DK��~�{�������;�
�����G�g'G/EW�#��
�����������[����9�
�/��V
���k�XN;TBGK/?���}".��?8
�'� �M��Y&�E���������rZ3�����ic���u�fPU���xOWb����tIb�xc\3��k���
Mi9$���(��S�~h�����X�Y������X�u�
�t�uj
��@�h��SsL3���krG
�����y�+Guc�g�
s���R�������;U�2�����������j
�
y�2��3�j�a}��X@{
�CzE�����>mkA��W������
Y)�]����.�J�:�s4��QI���s'T~��]��g;QZ�o�5c��E��bkp�����B:
�[ ���m��wG')������������������2�~'3��u���VG���2F[�e<
g�����Y��t��*5_�Ljz�����33�������v_;����mEy�y���|{���0�|��R@=�\�����0M�i ���^�����RG��*��(�@�b>���~�/dK�Ws.�y����O���o0&�������j�������/U`�cK^�c{^\a���8�T5 �
c����E-��y���V�$�5V������b��N���N����';GEq3�y����a���N���X
k � �!�����Ku,�kOU����f
����jr��AT��w/���-F���f��
����Q��6s��+*��$i�IYlo'Qf�;���G��}:W
���b���q�b�]�cK��u'��d��2�������.�P��p&�
����.3�Qa)O��?�8���|�+h+��n����{�[&6��&jiKvm2j�&�
I��H��({7,��}�,�,L�y�X-P�T���j�c��`�T��d�O��kV�if��oG/!�w�CD�&US�I�jJ'���>���j�
M��~_����FwW?_M�^=������������ed45�P�G�����z���:�0N����X)�����,So=�;V:�s� ����_���������0�c�
����8���=J���>��6��p���S�I�3�G )I0�F�����e�aE�[�����$�C���n��/T+��Ym,b�y]�l��k���������������?�D����i!���
����������)���t��������#������s�|��^]�c���
<���9-��;�jR����x L^6�o���U��95z}��d����<����/j���U�YU!�[9�~'��MxB���4-�.�_G���L���K�
(���w�,���G���(u�t{��<7��(gP������� �� ��/��Z��WG���?�#^oO�������
���S�uc�%m��o/&������~�����w���"������C(�|���<�2��a�}��S���tz���NZ��o<�i��*�B�d0�� Xh�c
w�����G����;��������oR��y3L�����G���0$ �l�&������,�S'
�:����������G����Xng3��������nQQ?��u�:��T���Qf��,�
��f�����J�5L����5�H��Z�nA���V+����$K/���u1��*b�`j}���������$��Lhhe�
t1��;�~urtx�����*��s��=�
�j5����!.�n��>
��
����)���j�+����6:�Q m
V���$���[]���t1���k&��7 ��
��3>���~�t��
Z���kW�(������9��2&�
�))��8���
���S�j��ip���H���Jf��[������+Y��
�9r�\������u���4�e�=�/�z�b����}9~�6�{�L;��g�L��e����Z������?{�(��d�tB���I2|oJXy?B��/�� ����Y!���������a���V�g{]wt���F�#���>KGAI?���0-R�#F7������NO_\�N����E�cm���z�W�����[[�g�@�JK��K��6�F��U��N$��My�*����s:��������vY���e�x�����^� -��KE�����g\���}@g�������IQ�+
�u�� {���� �k aUl|L��$�R2����:��w���e�>��v=�c��<������#0���8��y5��=_Y����o~���
W�������I|��;���q�T$���b�?�8����\���2n�xS��G��%S��U�0-x��-o}���3���Q������O[�|�:���;�S��
#�r�����C�5�
��}o�i��^���>��?mm��Y]�Z��������mY��'�������zW��}g�N�����������_�� ���aD
^X�b�����c�a3�����o+2:�W���
�eNz>�"WC�f���t�B_jj�����;�;�5ej�{��q�*y�i�j�!
�yK���������
(�h4Wq���l#�-�����i�U�c�m���t������o���r����!����TD������[����������4�����+1���.9����m�E�v|g&���z
T��:�|y��pC��
�bu����
5�����9
��Y���!�JB��7��wNF
��
/�Z�J4�M��^z�a���R33Ph)�F
B�����[���V�
j��
�V��!U�a<H l��� ��gqR�V�9���E�n(k�1��uz��K��*�IGA���
����m��Q�S0�iM�5���������������[i���L�h��V1�3��
����{0
���#��~�^h�=�e���t5��F�z��i�#�V7��3;�om11N�n�
kO��u!�BT��!�L����%�g�����&Y]�J7����M���
�_J�������2Z��-��a���9���9�����F{�z������_
_j-#�j�orn
�(!���ac�u��
���b���M�L������=�e�����}���>�"����q����Qu��k.y/ ������+�I���?V&� �������ss-�
P��.)����G-���
I7s�G�����P����)�Ni�Ln�43�lK��ka��x
d�&��4��M�
5���<@(��d��Y�����o ;��Y����f%��`\�sez���[%��lR�SY�^���{i.�����`]r%����6�������
W���J/+����$�|Yx�(��$&]z���HI�Fm��LfX#|�I.#3����������v
������"_��}�>Gh�u��9�����g�Y8���U;������ ~d����c�g�@������a��
OY�r�C<���qa>z�<���$2�?
E��
rMl�a�\���w��1�7
nj�����.���Ho5�d
����*��3�hc�K�TU1YU�9�\O?��
�
���� ��
-�v�7��[�.�
�������}u�������Z���������p�O��>�?t�2�_���\�Q;0�N�����{�������A�u[7����]�o��6��`�}������h|��!#�P
+
�����C����u��]��'`U>����!BY�_�������=��J�]H��mU.L�q�����,���<5�13R������V���]u)a��
}�:��z�� �l���k7����5�9�@@s��i
�T
x�7��}�[�1��T��>�5�\��J���m��}{]�e" �*-��O�
+�a3��Y����`�=Q��`G�n����-�hGo��x��"=���!���������/���@
}�`���g��s�;��w�o3�ZxP�z*��D>U��0�Z.�e�*5O�B�m��1aVOuq�
�.��S��i}3�;��J�^;�x������N%y��j��
l\����Ts�.|Vf]�
;
r�����x_[�������U��f�![�C�� ?F�Iw��Q��B�
D����XV1���i7��g&� \y������X�x��H� f�J8��X��Y:�2M��wC��/��3z;��L��<s�D��X�?-��?���i�rw5��� �v==�y��cZ?e6|��
�_�c~A�^Y������/�����d22h���qfn�B
�/���'���k�J!ea�����^�E#���d�Ke����W�g�W�/��}v�i������tU�J�5��w���
6��A���
I
]�����J/�z}�Xk��I�-U�:�����V����OF�+E��{y� $��z�\�k�������CP�]�^��jU�;��F����AKk���������qO<1��'��Wf���b�7k��8�+{�):��g��V�����X=�����x��
7���m��_smD�1~dG5��-K�4�/)�-��8F��J/��������o@����Jmf=
b���
E�zU!
F �
��RF��[�GHS�F?�����r�E��&
d���A����N�
�-w�g�����������H#����V)�z.���������iQ
�5T�xCg�'�KK`iEV����X<,��k�L�
*9���
"��9d2���Ngj�����
���-E4�!!����g�R���g�i�<��<?�%�����[ �i�����i�������f��j���
���U�U����D�T#i���0������4=�0a.��Q����W�����PU=;���#{�Q�d�����Q}�
�L�J/]��7����
�����jW7��z����d���?7jI�i�X[p2�91�][�n��&�^F��U[���7�
J��3 f�u�����
�{���
W�f��P���E
~c)�����
?nlt���?������0�Ik`�����������"�O>�
�K�����ac�H*�4��#[��5��Q����dmhj�m���L�,6��J��P��Lo��{���'�`�V��n
X�d���������������V~��^�qLm���2K�:?��l��8��m��vk�y
�6��6����LJ��P���U���y����X}SU���j
��y9���b\5'8��s�\������Sq��JE��M�(��{G7b��3����.^�1� ����� ��
� K�E�
�:�_2Q��2g�YO���Ie���6o��Y
�W�r�r�+�T�
�w<?�J����>n����=����I[����YQ7��g��u�(r�E
��o����
�5��_�
T[#�����@��x)Wo&#
L�S����Tu�XF5?4���k��������l�>������'W}������4E�5�H@O�+f�ini.�
�*���?�[�4p�����o��5������
���=��i�OZ�����VYP���j�l���3]��|����
Y]~���8���&|����'�����H����+V������� ����=x��d���m.��@�f��0������$tCE�L��3���>�R�{�@�_�]zKjUG�
=gu���r�bY�?� ����(��]y�S�*$���I[D�{ ��
�� ��"��NjDJ��V�>��i��?�����5����>���[�%f�B��4���e����%C��������w����F�������X�^���v������p��5
c���S�����������t
����V����=��V:����S�T��a�����zGL�RGo�|<������t�E�
���X� ��w��q�).X��t]�&'}b���V�k��c���+;�����6��3o{�~�3���_u/�j!d
�z7>I/3���s����r|�4�Zb5��n�`��������<��{
����� ��2��vV#�j�n'$�fm�gWP�v�\Cx`<ZTX@\��T��������9"F4���}��P�/�[�������Q���j��tl��6���k%�V\��O[cwp��-�%�,��M_��:��y�L��LS`^,����up��#��p���;5��kz�J��/�����+!��P��&�JEj�R]�����0zIM���~�<���qZ7w�p��c$�Y�k���Frq��Wf��y��W����tV�:zl=t=a3�&?�ZA|�A���r�
lWWmy� �����r3����i�5�$���o�M���/+�5��:��u�[��b��v��7�4�U���A�}�L���%p�Y�h� ��I���nd�M
[�u��`�/x��u����W����%x}�c��uey�^�����|�oE�_}�Y)������E&��Y
���'\v����\o���v�@����2�V.�����?����~Z?
o�i���:"K��:�7�;5�0k���8b���:��{;����M�
$uG
��BLu�N@g��4�H,���e��������w�b< C
P�^�C�(�y�d���Oo���4y1<�y�e�#�Lu��*U��
�����I�������n���_��;��|����F��p�=���p���t�K�
���0��Uyq#��k��`�'�`�_�X��p:���lm����/���R���gs�6x
�17�$i:�V�d����U�1���w�
]V�eu�����-���P ��j�� $����~��
_��g�>!���>[�����u�E[��������%����_�+HlC�����+��������1T���k0 ��Y��m<~q�{��O
�+��ga����S]{����E����U��1Pi~A=�����i���������������X]�\3.c����U��r0���6���Q��4xP��V���?��������0}YZ���WsJ\{A��e��
�.��G-~���"�-�z{z+%������V��IA���v�r��x&>I)z���|�I<Ox���Z���
"r}�n�/��@}i&�Q���6Y�
��;�(���h�{.���6��6X��v�ejx��N����W�-��w�vG{G''�����?���O
�T
�����n�Mz���3����k j�}k�b2����<�,�k���7�=����h���,6��Od��&r�I�1'�O���u�E��@i��~�q���m���0K�|������@���I
��j�'���5������4CX�1&��V������+�g�M���>.�>�0���>�������Gzu���h���������}F}��T-��P�H
uW�n���[i�~��u�1�,���a
]qR?
<���U/�������V7Z;��� ,u�?����J�_����h�V��[����$.[_�[/wO�>�s����������7=���
��U�F��l�p��.� � �8���1��������?�W����<W�Ez�69�����`���� �_��&������?�Ms�O�GG���RD�!%���H\�c�;�s=��./�W;��C�rC%�����IM�XU����h2
`�^oi
,}5�
��]UE��)��q�M�+�
7�S����`�����Yv�x af�������3��c|�v�������^nK'#?q����/�
�~T�?�|[�<k
��b�0���+^���IX��w��Vn2/�l�e5Y�u��H /�=@@�0���k�V_�MNrZo�/byZ;�v�
���K�v�}&N�".��/)�M���|�m�����-���T%�z�����T�J�B���,iW�� ��}U�k�Jd��Mm
&Z�R���g���+�_>i���m�?l~����
������<�?�%j�<����Z�y����[�{�h�9�0������%�V���^?~�TYqm��y�Zb�L�>�����s�+��E���_��Z4v���H��~~�<��o����?
������|�HD)���g/O�����PRf��BP��.{Q�[�
�ma,c��r��N��DH�V���u�1��)��D��!-_�����S 'eU��m�:{������m��vz������
�[:��=@���wL /�k'��f��hg����
���z�����WM.�z��|Y2���d� ����g�/��^�7�!��S�i�>F{N�H���46��Zo����>��f����>C
< ����:���w����}9��"�������)
���"}�i"�R�����"�ff�KL�Vf��yD1�cm
2�7�����Jb@�����Fr�0� o64�
���;�f����
V���������3�W������Vf��
�L�R���+���jv��
��{��~�����O
M�>�
���4�7�ve@�w��@M`F�����AfJTKZ-3�z�?� �S�o�oZG@�mLu}�Ku9�
zh%�a6�Lt����^���
��\t�\��Uy����~�Z��0���s#�Z�[�
L��A_�s�z�"�)7�4���n=�M��� Xy�-��^�.���?
o?���5�������t`���94�{e�
��S�Zc4I}O��q�=���I���&k(���D��
b�6�X
f������������4w��O����[���c�k� ��y�?o����s��
U
�u�������d�
���^S�^��Z�?��o��{��
� �:3�
D�;��
2�4�
^��d�T����^�T��D ���E/�-~���������V�Iz���������0N"������$H�d����}�\�_�H:�c��$�v|I
:�#k���O�8��N^ ����o�������oO_������?9���X�H0���7���p��X�L������
q��b�#��r�1���o�pY���
_UB�I�9 !OJ7���X@sF��9W�L<!�
�D�"_��e���O�n�>�:��|,Q��wr#�!IFiI����7�kl �V���
;Q��`_�
>�/�\O�k /�X��<w7�
>9��G�|�Y;��f�$
r'-�t{;���P��;��``��� ��+ '\y�
���P��%�s�P�������f������������������/���t\�������Yk���>;�vw���W�m���{�������#�����}��U����~f.�
U&� ����'q���;�p�{���~.���s_�&��\�������~�����D�'k���e�j��s����������i��t��^T�&iUp������u�nT>�}' ����O|�%���R���h��|���^
wI$��������T,*b2+%K��(�L�]Ia#u!]I8L��V(q7������pTj�[SEi-U��b�gim�������Q�f
�\�o�%���i��E�s
�.�'�c������,��|r{y=����%,��x�Y��o��w�`�,R�}��?�\���7�R�f��,�������
����~{j����_
��Y��Vl�[^����v��|����-�/{�� [��FKLe��
��2S�yJW�3�.�<���v
���u������b��
�qP8IX$@%iV���� ����
�d���0O�2-�����(C��~�!#���"q����2��<��sB��JUx���L��[��7�Z����;~�T���6~8~�K��gT�g_c����?��
�><��<���8E8�]x��F��D~��N�B���m��YFNV��p1�,V~����I�a�Fn�E^���Dy��vjc�����,����*u�"�='����l�������1R�r/�}?�b�����s/Qa�����/�����ge����\�K�$w� .�~Y��J�,�1�����!^�/��E��Ql'^��q�8����
����(r����(�������pn�G*�
e�]Y^`��4�S�����U�y�����d�[�vb���s;K���c��
��!=
���d��Ty�9*�%Uy��E����)�/��
";��4Q^�_@G �0��#�U^DI�����6�2K�(
���E
b�����D�����[�Ej�il;%nM��t#�I�(��
K�-*�<M�"
A�a����Qf1�.��9�
�����wcb�8��X
<�'A
�*�T��n�E��q����8:q�u�
�{'p�?~��EYf>N^-��X�2SL7*�����B�����C�2�A���M�[�yv�9���� ���vyT�*��M�Q�
�+�
$���n������N�i�;^��QLS��
�X
Q�k
'q�&nQ��\���K���p��r��I
���a�aX���y�����2���W:%xd�e�o�Z�q�\����u���r?
��)v6�2�`��8��4�],�@��W����f%�!M�,
�cSxE���rm<A�v�lP+V(J���]��aU�Z6&
�*Q��������*��vr�1h�v����9&�H}�F��.�)��FQ����T+�"U��I���yp*J �������^�����n�b��g
G�E���v���Jp�m�M;�Q�r"P���dy�8bE��e��z�v����-���=����� �
'��&����T���,t
��^�*X8�Q�& f������)���4�S��~�i��x���P�2�#�dA��#p�l �+�S�A/���"�2�E�0����
����Ta�$-�|�W����� S��C�+�Uy��%���H�����������y�8��9)c
��>^�s}h���T��\�-fJ������!��v888���i
������Y�@���B8@�Q&��)/�v� -S/�q|�_
��'* aJ�*p�<s1/��0yL4��<�xq�D�U'����\f��cph|��#���U����A��R��`�����Y�
�
�2("�
4�_��H�,v�-�����-d��_�����K ,<�e/�2�N��:dvB�� �#�aTl3������ p|HN�}��Q�eN*�� '��>I����I�)b��Y����Y�w�k�
��O]��8x�
�U�@<
�����D
�+�YM��7���&~C`�a����UNX��
?�H����BH���l� G���+Axq��"Pz���w�w4��������J���.m
_7N���q��1��$Oz���2P`,�(R1 ;��@��
u��)�\�qw��#�0Nf�a��8�l�C ��Z� �f ��+�.���
���*
�{.`U808�i������
�p�oX4N�����M]|�+�RX��(�qLA���5v-Mh��>���c��J �,G���W�p+���+�%Ef� �4�r���)
��A
��p�A��
����agl;xy�M���e�xi�8�9.�e'H�����X6�
8
B�.���2SF�)EI���0xWd�'��Ry
�1���,���.�
$����k��+���]�q�
��
B��������l H4S&
�)��,�)
�hK������b�$��o�����
�|Y�8���`����F�`y�txx��%Nc
����C�~�3�!`� q�pc��%8 ���` �
���*!�'��<<
��T��3T��SB�E>������^��A�
�
�'�
($
�
E7�
hD)���k��(�T �R�f�\� ��1�2�?H��A
�������(
�2&(
E�K^��| r3%����!8�TxS���@|�����3������]
�����L
����o�O�
G@0a^BF�6���1
�}dk8�S|��
E���2@ p�������cH��^��9P��z�2VE���1X8�]�Q�mV�&���h���b�
�k���a�Cb�����K�h
���*
����
����� ��d�V�
{�+�_�A��\<������o`,8�#���gxn]$��� �#�eWRB\Q�A@)�L�
�
h��Pg��RHQ0cl<�\�L��E�8���}a�@]8�q��3)m�u��%��M
�4pi
#���
���h�]��
���h��&[��iW��p�]`���`�A������`7$I��nLb��S��c�X1T� ��L*I����$�p$4�qi���)�7���I�;�ib��ZT�
��,�����
��X&7�N�;@��^
fa T
�"��(m��6��
�-Ru"
AhGD�@|�w���R�����I�
9�cS}pv/�&������(���!0?������K�`��j��B�D!6b�:b\~cUr?���:D�� ��D�� �a�\ ����������Q%�^�����p��@|�<������G����_�GA���
h�8i�
Z��t�&�/+����)B��H��������&@��CE��#�p���
&����
j�i����>��G���bA��F
�)�K� �V��X^�Q�";���} ?
Px�j.��
�;�n(��U>�&H�W
��% 7�
G]�y����Jl���S�
���~/��K �
k�&��y!
(�"�Q���:�yP�lp�2�b��r�q�P4��MK<6,�p4h���c�]�l?t |�o��>�4�}N���
H�CW�|2B(��
���
��XP�����A������b
2�/��#�n��v2�%����*(E P�]�N��c(�)@a����E������
��@�8�`w��%�>`i1��!���W����������`��
|U��C+
<�c%(�cs=E��,��89K`}�(x3�h��Y��L���!�����
��Y�pk����e�� �)��n
>D��n
I����Y���i#���j�������vD
i�X'@�
��K��S�e�y�N
����>�N4�S��������*pX��BL@X*�����F
���I
��
�`�P c���� 9�P���c�N��
@1��}g���(��M�X�2�w��8-�_|P�*�8>.�N'ta��CJ��,�
�f�w(����);N3pX���
��<�� b�pX�
.�p(W����
�^�D(1�l
*N10�Z�:�E�t���G����������� $(M���!�J�P
��Rv4;
�x$z���AsM#�*�j�<�i��C��<�`9@`IX�)2nh���q
L�`�A1^X��
�Y`�b����
�8��lQ���<��.13�C1�A[q��@��'��l<�8p��A�Uv
�'�h�y��E!!��<L���I}����F(�S�����F��88)� �LT(�f1y�ph
�
K��@�)>
�(A��W�A����b�~�W����D
����]��d4�`�X�Q��
Z��S@��B
�]�����p%�<
��0
�d
�|��{����"`Qh
.t$�� ��.��iJpq��A"h��8
���79wH
��
a��#
��
����0]�G�t�u��.
r�k�+A;�r�i�
:!�8!�����h��*�����U�I`wb��<N}��NCPPYPmts��%{�3�D�
��qXBe����������^J�6f��5��dI������c@��
���C���F
1
��2<������s��\�8b
��J0H���
��878�`��}"�0`fy�
�
G��o
I�%���y�M
bqBh���0U�|�������8�|h8
@t^���������v����e��_B�pA��XH����c�P�i����66�����5�/ v��0�dpM���[T� ^$�Q�,��
��M
D ��8j�����^>o��# Q�,E=��4,�Bp#��"���hB��N�
"*&I����=,%(*$��e
$-r��9o�&-�`�%�>��a��P�hC*�+�����`>�Q���p.�_��`D��v1I[������P
��R�
L���X4�d������ A5NB��f��S��"<1."(O �*
_
�(�C����w�re���
(
j.�w����^���\p� e�f�� ��RE>Nmd9���7�.���iD�RQ�7,0�^��E8�.-�)}P�
��$�����(����
p���P���*�����T���,8�6$8����%��8��s����A>�eEL�$�����r���pZ������s
�A�?�K���@'$L��E I�U,T���}"��
�!H���u�%4��J"H�:#��
f��bol��Q�`m(�T#��$`���*��e�4c���4�Z����cB�v�Q��
V��N�� p.4�
3L
��4�a�YL5�
0
@��<�S�G����@E��=�����&T.����_�
�(p �B�'��K��4
e\�R��0�I���
���6��5�(b���<I��r����.1����a�#2@(m�U���h��P
�"����7�"�)�5��(�i��E��(BR�[��F�B)@�>`���$��3�`8�t��)��@p�8rfS��I�
=�.P5xe��,B�9��8�rC;�]�%��) ���������iF�V
�c�d]����
cU!��o�����b��eNA��Psb��\���C��6
w��s��^@�P�<�+�`*�C��x@CX
Ow�H�@m�j�N��� �
k
�/%�O#<�$������CprB�i{���qR8�.�.�
k��<2��f5�1�
�V-��M�o�L[�Qa��G��8�m�~�3F� 8�<P��}`����K?
�
�6�����S���
{��A�,#���$�����j$=f��r�W��TH$I������^� ���P�snZ����v�(�o��<�*�(�@�1
}O
(
+Qth���6eE
NI���#����� �����9x8��
��Br|�[����Ov�0"�
����2��.@
@�N���*
�Tu
���2����� ���j��Dt��:'���,���z�`^|�|F+����@3&�>�nj����q p�u <Q��. $����
�I��=�!�p�J��!
9N$8�`����I��A�t������VSr���
h�
d@ ��
M�N
� �����8���M��8��K�W�U��J��fT��@rE>�01��T������x���@K9 .L� �����;nD�
5�����f�U
�$�N!
�cZ��
y|�4�"Er��h����R������q���Q`�8��l�� �
Z63;a��B.z�]:C<B>lK�e��=�"�P�����i��!���P�������%�m�M9TZ����ifA$���
&��G�A�������BREED�?6-�!w*W%�o)X� ��xA�>6�v� �r� pK���\pk�p�
%����!t%��P�W #����S��9~
����P��
H�-(H
����O���F�`.�]x��.�8��JfA�;�F@�Y�b;!�}66������������
��8>N
P��P�C���D�.�w_�,��K
����*
^��#��\� -p1�3���Q��C8+�36
�TXh�1}�9��J���?-^��t�������^�T
��Li�*RWH�&XuA�~����(��h�w���x[l�a��7��6 08����^AD1
�j*.�B �(
'
��6�4���
��!�S�u�V8j����P��:"`QQ��S
��{�nXS��BWyx4��0!@�56�<�IH �&�v
���������������@��Q��
v*\!�����<��fy�����B�<~�����v�v���
`�������9�%
`��1���(��
�%�������p� w
���9C�'�GtAY&v�hA��������cH��TJ@ ��%P<7��b������#
-�9%�����8@X������,!��5��t���������o�*���%����/� �
���dK�&��@�������t3C.�
rY1�`��
���0Z�F���>����}c��r�#��J6;�tqz3���a���l�OH���r7V.��
E<����J�g��1B�$0
�-�����
���L��9��JAD+/���������5^�$�(���i�3�r:��T ��,*� �x���y���!���
���TdX�O����@�$�FN%�O�0!,�����d@�� *��� ���Hz��aJ?��J��h� �/Cs (9{ �R@�#
�:�s!�
�>��~ UrCY�
��\���c������%����|e!7
RD�n�R��!6��+��i�����M�
�LN�G%C�����A�8��\�l0o��E���!���C~0/��_0oV:Y���cO~ ��
�rB�s
�����e�AN�1�P��������W��1A�I�~�E��"H_zK#FkBl�� �2
��`�h��#��#`xBDG�/^��,�n���n�L%����
3f���W)��]�&�p�r] �
Z1�d
)h�%0g�WB,��;�fb�R����}����i��$�w!����d,�<@�����:PQ@W4�}!|p���@�
yJ!���06��.�d������
��n� �����.�4
�d��8��c��^�0?
QyP��h(�>@N�MF B�nA7�'1���8�#q�]�P�!J(Jt~��0xL�2���A�&�b�����Q�)P�r���P�g�t�bR`-$&� �?�]``@80�2(szb�-��a
:�[:��
����P�+xv��� J��0�mq�e6���N��)DT�����M��C@c��"���b.�C1*����
4� $�0Z1��A�4 IA
l���
Z;,r��E���0��c��b���
Z��1:��3� f�]�����
2���
�*
,6���A�$c��@j>d
�(�+�q���^�M���Bd�W��
�-t��T��.J"K�q���m/J �����0�� ��K`�����A�mC?��M����2c4p$�b��<����f�`I
�}@�P�pA�1�)��8/1`�0�<
b�lh[x}�[
�8
�.��$�X[��QJ�1V.S
M]�C1|L�E
���:
���q��#<���.% u��2�R"�
��$1^/��!����
Z�z�2jd\�=��J8qFO)f
�4�s1�2���3hv9- �qi���P�,����[���H��]�� ?:��<����`����R��#
rU�[`��qfSP�c������U�
�[T�����"�J �-`
C
��
(H
%a����N�0c(�64>�8��5M�_������ �"�P��pkn�
���@�d�2e�X*d
L��IY��8n
�*.p
�����:��ICF$�����o��`��
����N���#f�v�.��$B�`(B����^F8Cx�gt���d=�)]6 `Ps��U������%��.� 2\���XG����&+����jPF3_16
�
������
��l(���2��>�2�
h�C��Pv
��0t u�o��/a��?����I%�
��PIA<�F\������)��fh�n@�����1�S1�a��{cDMa��eK
����p�
����
��_����a\��9�%&�_�z@�9������lL;dA�t�5#lbh��~��
hS�g�HQ;
������������/.�����k(M�g������1��R�
p�)i
M/�Z!
VJ�gJ��_(� �#���l ���UPpB�'|�!z}�����4�@��8"4���
�� �"-#���
�=����`�RL[5��)$H(�����F6u�pp�B�t�^f1�����2���t0��
Xkh�,�����
b���$Q*f��9
i�������R�_'�B�dClv�D. �+-c"���/P����3�8���9�����%S
]u������������' �EA�T��d����q
����9�C�gw������)A������6��8���������.�R]
�`�>�:�C�����){ 5����'Z����+�
���@B�q�]�=tp�|/�.U�7��|�@H��'�m[�E��(f�.m@��AL��3(d q!<'��e���ST00/`���.tLz��:����~�J<�w�^K��b�L,��+� 60�[3��+� ���C�r�A��
�
G�,�
T���\����P�X�����3
�-2q{*z�@�t_$��6h
���B�W��B��a�xL�1�#Mi�p<��] ?Cj�j��C]w�(���8
��������S��Q37�q�GxKH4�2������c41C�"@���"�� -���V!�6������I�����|h�����,4 ���A&�q�(q
������+�1 �l H�7��W0��.
���3�W\7p��,5&E8���$a�#v��$���`��>�"�S$
�N�k���^�@���pz��>��0$0�&�
>?�
�$��p
�A����e��c8����xih@;4��L�( '= P�r��
�l��I��� ;Q�B���C��)�
�N���)��c`q���`1c��b����BRPiA�fm��F�
s���5�b����k�O�4����!s���=� W���<�|��A���5
`��
�n���s`���5�-��MJ�E��t����0�"�0UqI�Mj��0� $u� 8��
�����v�%uX�
v�e��
C�, }���L��hr��A:8��?7S�*�70���'d����n�@
F���Q%��3G�����@X
������#����@��TC�����!�����������
<�< �TB;����D��p�l�������0�d����N �}L��x����"%�P��
��Xi��
�d�����1���dz
�G���}�/��.
�:��� .��1
&cT
�<e�L�0����(
�3�_PH�#�[�c��2b����P���'� ��2��/I9)��(�A9.�T1 �Q��������2d�9�z��9>�m ��H�$����
.Bjv�24��wJ�D[3Oo'
�)X���%b�
�H
kj��������~�U
�t��e�
W����G_���5�$p�q������n}&S0�-���3:
87 ���i�N��H�A��aJ��
�?�v���u ����s!a�����r�3f�j$S�R�P�C�X ��F&�v���!���a.�P�+fNs Y(�\x;�f�!O���%��]�C3��KF�F��(���������z������Nq��1 A.C���Z
UX�C�1��
"R���4��
gl
'
h�8K�4@���17%88q�l_&�YU(�~�.���
��+���������6�y�8Q����4f|�)��z�3���r���L��T4����AbN�>@�58�@ ���{��-�dM��P;��� YR�?���R�%��,/I��q��*�#�� �
uF'�J� l���
JDqi�c��c����|�
9$�!�\������q�
l�82��A=6���
�r!�������"A�D9H'�X��0�� l�u���f�A�7� �x
���%89�9��R A�
�H��,��p�Tp�GG���L(V�F�����1����q
�0h'�|���W�Tuh�f��$0e���(�0�;
�Y6
����*:�J��Pj����'
�(P�A�8 ���/�s
7�%�(�\#lr���b=��m
_��a �H�
�:�Ke���
�
���.��1� �nHO
F!�q=F�n-���2���vXZP�c���!/�*��Soc�
8)t�|�
u��
��#N^N��KO5�6x8�a
�*�MU$
�<L
{u��
�'f>�)`<
e��AK���;�J�����q�� �4��%=c8�i
�.�x���8M~@�| [\6 �aft�%����%C�����X��E6��T��
�It�M.c��p"
�7�������/��D�����t�[��W8
��r��*�%�
� ��}�,
�N���-�9�0O@�T��D �����B
d4���$%��.oq!�!
]_BS)Y|��.�s�a"@�B�`ql�sz���F�13�I����P _��
�����B�r1�BR#�c�WC�D
T���64����I�
�22�����
�1����d@+a���Z���B
Jl�
��9i1Crs�\��
���16��
�Q�Pk��@��-�` �2!��C&E1���
�g�r'�N��A�1���q X+S��L*V���C������>��0�����
�-#%R)����,1qPRlX�;�����DR1 �]�/��A �q�Ys�u����b Y��u�9�8�
�
�u� d~3Um��\#f�%���e���
5�-�
b3�o�gx4�,b{/�##�x�d��V�[
�E������A^#�)y���'?-!��!�t���2�R@dg,3�o#[r��g�x�^V�LH`(��A��F-c��
>H��b���U��u�W�{A��H�e�1+�X��U��(������Q����f�BI�L�v
��cf8�b�ri
����S�l3g\�����XW�o~��o]�
4�(��r< 9�P�1���c�z����B������ !��0n*s@�9�>63QS�efo���D�!=>�1��q�b�o�G�`PvJ���`2,��9�T�!�b�9Y�l��j#P�
��� � ����!&r��@�aP�Y,�����o���[h+g)(QPj�W>�H"���������I �V�!f5��f�".���
3�|��
�+�J����d��\H-����]����J���N�C�
���<���
�]+z�����NI�g w�%s���J��1�p��S���A��_Z��nu
ur*� (
t}���SB[$7OP0��"�`�^� �@�}M�$ X.E �hM��<��� #W��� zP_� �N���V���
3Rp� � ?}��M��8�q���@��b�4���
,2/hJ��f
6p����n���$L
}6��� B� ����.;f��2B��;� :TQ*�f7`AP��8!����x9
k�5���4^�WY0�*��8���JB'&I��2B� p�13V���W����F���Pg9�qZ��r8
��{[��
���3B��@E�l ��JY�
/����D��X�2�}�����B3I���^)�T ��R��
��Ac�
��`��:A3q��
0���4��5�����D@��� �}���d�G"V��|r�b�Eg+�%h ^
Y�Xq�����T rV���i�
{L���u��"�!��!6
�0��G����TY���B2�x?$c��J3��f.f��u�O F�Iq)�P�,+������Ncr�����f ���
�G[a���,@k��1��za���Cy
8=�lB�2c*��|��b�r�e���CX��d��cr��bc
V(��d.f�@%��~���`F%� ��h�
�C�Y�������e�f9 �rE�F*~��e
Xy������� 5J(�*���q[X�����X�|4c��O�2�C�\:3�@��)�`?M���X"��E`����i�2��
Y�&��rJ�5�{d3������G`,
�w��L���@����h� �fF{^��1Y&b(��9�������p?��2`<\��`��
n�c*� @�d���>�b��0��:�#Pj�P`�KBd�IJ ����
��)�3�l�0���� �� ,��H�����d���@-���
�P�$!5c !�����L���a��/AjJ�Q���t��K����d��
��Et\�!�~z�O#���bV��A21
,�R�8t ��i�`<`DB��8��y���#[*;@����qDAeT���`L1��M��#g�Q�6��
b0�V���@'`�`>�E�����-�m�>a�ZD�)T>(7 �
�]F{�T��w���]R Iib�0S��
�+
+PT��1h����`� � }�(�@ ���'�����B�b���^<p,�5�^�q�6
����U{4G��@l�PM�����E�C �_x�
�� \�(
�$�<�����X{�F�$�$��\��
�*��8���TH�;1c�X2-�<J�C��J����k���1�Ua,�����n���HK.�P��3}��d�
��
A�r�G����5�)@#Cx���b��N�-�2��g|=e^���1��[���>������1YT
:$�s�i����i>
�U�!K�0;d|A ����nD�7T��Z.��>#q��f� ����.����@�1�q�P4Y���*���$��M�.���K�b�<+c�A70ep2��P2@-)���1&
"��i(�!sTX��Q�!R����>xf�0�;Y^������F��r�)����E�0
���8���5pH�<� ~#:�B�S���4�X1P��K�;�a�o��%z ��k��`��;3��A����
h(��eS�P����u
l
o�X�h7���TX�
�]@�)�8Ct����0`Y��0�����*� �F�M~�F ��}��z����P��F
��9!%�8I!����!8{��q}-6�Z
��
���e$<�`��|��pXG����a�)x�EpT)��(�qZ���V>s=�p
����BsX���>�:�B�d�� ��
�����P��>�d8 ��
$k���'
�B��p��=�<Fi�zs�b@]���G���<���[��� a
���<eI��`�e���;�tP�]������D�����L�U��y,�����~���!�-C��LB�%S��P,�:����d���Q���V�����P�!���j
�>�OiDg�0�e��[0�
H�"4pL��P��$/����L��
�R��aL �
�M;�ic�}�^@�gH���
�����ML�//��DA*��*bz9��,3�m7(����ad�/_5c���"�+���m� ��@��.�+f 2�����6�'��)/T�Y"�g
/���o�E�)KY���h��
0x�&9�0���r��,)�@Sc*��i �|��v��/0:�&�'X��a�E�h�4
�y����j��*���?�
A�*_ (����e9q�
������o����h��E��!��Xl��
�
�.�{���Z�U���
���ts�������D.�G2��\���X4�]�F(�!�~6cOh���a�.
�L��`^GVPw�0A���
�T| ���_� ��i���X0,>�KJh
6�\h��9���3x��
K�$!
��R�QF��`��M�I *�I���#I�@!5��d���1);
p�7�
�3�C�d>}���4�0���P�c ���z��m��dtw)�0���P
����`�X}7�-��B�8L�
KL��d�����k RZ2[��`Aa�#����
��u�
2B�tL2�b�B.V!wY� ���2��A.SY��J@�
�6�s�c
,�0�@�%�r\���)�f�UH�:��`��M��4`J��M�8qr�0��A�)$j
&IB��]�B��b$�l��b
i"������r����4�h�d���*��?��8O
8]�-WS����LF����#e�/�S�
P���� `%m ��"���a ��`�1 ����
��0�%K�
�?��f��K������9���HR;Q��_Y�q�'A��
��#��=��.g���J��:��*5�q(����E � >C�I�A�c����� E��\�c-@��q�X�9�b��!��$�C��
A�L� �c�Z4���)����`�Y���,���W��\�����s $���U�����NI}:*��q��K���rQ�y��n
+�K�_"
��b}���b�8
"b�]p�<ND� ,���y
�!-1A�(xe��cEx8���A����t1���[�E@�L��@/9�3������k�f��kGx9�A�����IS)�>���6z;����c��������� ��z2��)@�
���,'�����L
FC�tM`Sx.(�qpt��� ���5>�����B3� �H��&�
�B 1���D�y��
��W ~F �
��q��ACZ �1OK��r�����H�K��0��pi �Id�D@"�
��0��Ya
��������PZ��@`
KaM��fuG
P�����b���@L�T,T
(��3���q?d�X/hb�T:<����4�`Cw�h����a<&���]��@`���'*�%�L�'���B���,X��>s2X�`-_ � t)<��q,�L�s������(��)�, ��@N�{P��� s^q~Y���
�
V��\�7p��T��������zd
�x
�_�8�����~�w��V�����
�i���b)�*��t��r[��jK��M5�a�K��Z����^�!�0l�
*���6c��
����Cj
��
��h ;`�.f+��
����r����s���8� k
����bI
A=
Xo�a8,J]����
Fr(}�
,j
�������q�4T���B�t��9�X�G7���t���=��s��dG�{�Ae
-}.�"���c"�"��>
�0�x�� ��|'e5
���?�-��$�K�*Vj�YS�>cy7pE�/��BMR&
�L*���D��\
(p�����t�u�t;��K��0������Y ��A����^
b�8b�E�����b�!�
�Bw/h���$2,�i4��E�0�8Pm�
��o
��\���
�*�����d����y
6S,Y��5o� ���iyY@#3��3�-c��*����+&q�V���7 �0�m�^
:�����s��2�4��,oIc"
�LU!|XV��bZ����D�������#dRT�I.L�/�1������N 3�Nr�.>��<c����
WP����4^�\����z`�����A�.����
9��B3,�:a~`*��!rX3
F:x���q�n�u����P>k
�25�lJ)[ ��������
�
��3- bz�q�Xx
Z,��|(�Z�"z� g�H��DA�� t�u���
`���
���
�aQ`:
q���XF���,e�S�;�?��U�
���)c�s����R8���I�2hFP�Y���"�\i�z��]�KD
8
����5��
��)��h���'f�h�Yr��G��:d�$�-?
kG�+��WXp�\��Q,� �f\8R"9S��Y��-!��1-
Js� �X��M���f����vl�Ap�2,e����j��ZL��H�e���H��|e��]��E��3 ���D�� ���~\��)��a`�ERS��E.�F$K�r�,��� �R�b ����p����B��L�q�R�e�@
p�2%����ZLGy� e����D
x`
VH�X�
�sp�i6�`�%��K��E��RCD�X*�Fc��n�������xJD
5���u�q7V�Y����KB�����
�
\�Rv$�$��Te,h��\�G{����E���Y
�\�,X.��&0|����X,]�uzV�O)�X�2"_L%���Df
�g-�
mR�o',�
����%�[�\��dbi��
�� ���VQ"��)et���
A�blF�Q��,��2#MyLdq�SYH�P
|f�!Vh�p"U)�3������TvX�%���X"
x8+�Qa�*z��bd�7�@,�l3$��BF+C�I})/u�l�u�\�
�- P@Y�p96P��0(�(<�;�
{�Bf
����P K,�)0��-�$cqIf�R�*6�*X�:eh�K�E0�<H
�W%�c��D�<$ssX�#��=JpB/�� �
�����c��\�N��pQg�%|H�
K
ePf"�?�Tc���Q
��]��38��<iQ�8���F��� �g���2
t,�+����8c�&�C��c�� _p��%@]bUF`JpW���ME��Y E
Y�
��`�
�=���a �}�bF�1fT��
#�X�=����|m.
}u�@����n �~��vNK���b��1.
���l��*�,AI1��q���[�P6]
�!E
I�(�&pw��`%��B�����v�W������c��zV�����V1B�����
}@79������
�:)�0n��
���x,kCE��-plM�$z��rBBR��P�r�^`��P�g��
q"��k�������)fP$H��z�+�m
�.g����P�J�3_�er�w1+��8'��n�����X�X
t�H�+my��6#DiU��
L�i���������1�L
��d�
�2��uA��!+����t����M�SG��K0@=�Ur�N�d�`O�������PPS�^2^���)cj�G�86����(��Sx��Y�3
6�������������3��4���F�)�� �������l���B��i,7�pLR��"m3c�K��a>5��I"��6�q�����)
���+��N@O&��WBAc�1�z�m�
��0P�ds
��
���Q��M��N��0�����
(�/( r�gXCL�)���z��"�
#�M�h��U e��
@c(��#lZ�*�:��d +���,��3{8
h#
}������
XL"��� i��:X�:#�5�B���!�1�'d��
0��%�n
�d��%
��,z��{;�����P|�L�b��b����
7���u6+��!��X�D�����^�
�����]�zF���o��@��U�%����XV���)"��!�����t��8��Jt�|
C��
��t`�
��=V����c�m���MT���)66��8bkw�I@
�
T"�@�X����`�x
����:4T�L��
H
�Rt�$�-}f
c�m��@�}��
���3�
E�$���������qb����p.5��:^B���sCiP�zFoC�ez+1��p�U��h���
e`��?��I��b��5���u ���24{�MZ�~*�=84�L@��� v;vY&.���c2M)����
�<
~��J����F��A`0�� �6�9tAX�4�bc=���8L��V'��@�A�CQ�K
�R�8�}a
`�F�Z�Q
�e�$�����/
�~�g2|��U(��� ��1�������� _��3�~&�5c)��x�(f�W�9��X�*���Qg�2���F2��p�~�'�^&R)��f���P����F?iJR��
)[�%,���t�b�
��;B����Af
�tI&
d{r����D #a�c��< ?��-���#V��XS0tG|�{��a��� ���C��
2��C��h���@,�X����m��������{�}�A�L-bT��,�eS��2���h����KV�aQ��K`�
���
��0�]��OT�tA3
/��R�
�frH"���~�S�ET�D���":)����1P,���
E
],9"��fI$��%����.X���YP��*�
�
{c��+���2A���%�8`+"`���p�Z1[ ���n���FCS�%��[�:��t)���(�$��1
�`�*��2�
�\��c�F�p�5�1���E����=�Y��}��z@�%�
[��X~J��`���A��/w$R�v��=���K
� #��c�b9���>{���'��h�J����.�~��b��h�\?�
�<}��#u�!E5�9t�^� �V�u�
�A�|�l_���8y)�B����"&�y��(�)��[0��8.�3Z�) ^I��N���f�D�]`�KzBX��c�5�5 J�g?
�������-Yd
'�����B���}�s���8a0��c~���:9�P�g�O�4�
������B��!
��!����A��1s9����G�Gu��R@*����*r�+�����(XfT*�s�@ �A~�
�hC�ak�0���qHm,���c�(��*q�vi��,���(
�gT
]��e L�-q �
*�n�����,���$*X"�y@w.��\CHo�a�4%�J2��������C�9��b�Y�����b��$]B(�9
V�.��11�Q =uJ�Th-�/���0%���5�QF�u1^�@�i�xW(`q�f
�g��8xoV�fuD�Kf����#tKA��)��E��M�(�187�
G�.,��E����XH���Af�
S��M� f�:�'a�,���y�Q� ��'@�E�
�uhu-3G��I^��N �d�� 6�MY��g�C�A-8S���@�i�)��+�HKE�T
Vpe������
�cG��Y����I� �
e#����_'�����h���tw����
��=&���bK�$���M�>�2;��u%�=(�+���
�^�3������
���������e� p�$�w��6Jr�W�a�l/po�l8*�r�I
F����
T���M�g�L���i�Fx
p�u��@C�
��vJ���z�� �.��{
���L.�f���d01(���$&
H�/i�d�=;����
��(4��jB���0 �����K���
B�-���D>S �|,�w��J����7����M��� ��� ����)D���&���@w���\������#�����z��l�e;��Cq��
�c'
���L��X�����8���Pj�Ti�!i��1b3���9K�C1Y�UgY��)��C��;���m�X�8��B�%��L
b�:;cA:l�Vj�]��,�T2<�Y
;
J��,�> ZV�a���:`
D�I$S�Jy��y
����M�.8��y��nc pl�CGY�`���{�ja�<���p;O�MY/���t�1.L���{��Od/����3�>6�#�QP!X=9&n
)�[0��3�tG �(�d1��\$��a4�
��F�O
���Fk���[Z�U���
Y�
��(g
T�#G
��
27b�5���4�*�������C��t'�f�������'�&�U*�����A�!3�R2����%���Z?��,��ANK%t�������b�H���](�k){����� U&������
�:��
��L��lQ�:�a�y����p 476`�����P�=������d�hHQM�� <�m-��z$)���qK��~ �c ��=��,����b�����D]��*@3��e9�{��@!����a]f/{L���^A�����V1�&����_���t�E���
,Adv����dr��B�/�c���9e�pp|G����"��X���.�n�0<���1'�t� ����h-�?
�PQWguz�H'F�0%�E�p�2�2u�gO��JR�fP��Kf��U��a�zO!� ���g- U��2`�8��B{4���qb�+�x�$ ��L�_���
��eU\�qf�U >)�@t,�X���������\Vv`�)vT�J��Pq�1
6N����<6s�>$�a���l#2�!d1B2�����A����Y�����R�#��^^&Z&�}�)q�����f���e�c�u���>�6�
��z�*��[�)���@
q}A��Ln��������'(������Y��e}R:�V���
�� �V������.����Lat����F�/��2���@�#y�"���:;���dG9�5�
�� ����a��p�M{��]��P%�����8����8`��q��46 :[��@c�TO.�<��T�=4[;�� ���R^
z��a
�P�& �D�N8���Vd&j�
Q�����^
����#:�����l��:+0 ������
�d
M���x�p�i�2�,�J���1���]���$����c%�tL�-4����)��6{�t� Pf����U�X��i�L�@,��
��ct��� ����@�L��'d.�".���d"��c}� d�Oh2����W�<�'�f�+�JG��9
�4���:�����L1&`�!�5Rvsg�?�
c����\L0WOk0�4�~��X����!�Czc@�����f#I@-M�qzs���l������ B���d�y�c'@q��0���R���u
[:|����J*K?dl��
���[�v&L<���H���E���3 � ��X�����_�uY��L�s�+������[�����A��
IT�V�Y_0w����2����?��������[yAXIHd���Z��>��s�9�ael� 7�@��������f��0d�W�`GefE���B���z��:�r�_���P�i���
��-�Q���#�����WUs��fU-U���t8ShA��$����k 1���+���W�2�Ls����-)�Z�.{Q���N�����z4.������&7E��;*�����
��<��Xq���
����k����0]�!1b����
���7Z�(>��]��������I�U��JYn--1�v��������Q�S��IJ)�T���g��Q� ������3/p ��tk�����L}z��
���|j�hJZ�^��Ouq]����%�
��Y=6���Iam���u��Pb��"����?��4
�(�y$zY
�9
���*(����a38o K�BF��j�Y���I���,������#���|�����S8��[�Q��:DkT�$%HPq}�W����u�����"�%���$=��bV����u���8�k�un9 �C�����LA
nS#
�?&y���%5��������*nh'
b���7���"��t��;g�jI\�}�������}D�n ����r*K�I�M�W�:l&
X� nvI�
�Y��H�m-4�Z9H*j{���x���M����>��}��.��b�a[����.*��KQxbU��t����}�A�hW���0�z��N`��"��������~�[}"0�;����z��H�[%�?�U�r�T7���~
!)�s��]�<b<���P���l����\
� ������B�����_Z��M������qlLi0^;7����E�U&T� ��
aG��_�^� �.�'c�3GMF^)���Q��
��b�\6�i��fM����QV��l����e�b�[g���h}q��-����Em����x7\��e� 'oH��I���`r���3�!M��X/
6ensdE�-����ZD�,���;�
oQ���19_�'@l<�T�"���\�du�9~�����;�\�Fq���Ye�M��
!Qe���5����]])�
��XsaV@����hN~��tDE��`P�+����{�1Y.�N��o�2���P������qp��T ����'���s�
k#��i�C�l�������^cs1K
��;��y'b���A���Q'7A�bj�����
I����`�?��,D\5�6��o�
5-��
���P�j����w�E��P���O
s5pTL��f6QiN �A�#G���� �Vi�
x��^�'��K6�����v&��l����tZ����R�tx]�F;Lq��x���y~���kg����.���2�����%�E*��Z�}=G�Xj����T��J<���P&��A�����!�����V�B�p\.�-��44~ M����\NW���Q&\�~�'��2O���J�VX���P(���z��^S#FY�7�Q��s�\�����@���Y���K� ��j�������\}���:YUc�������)�4���lU�
�~ 7��~�D�G��R�8�
^����+~��u�6���S��\}SFM6����
-=uw��7y
���;���
�e��[S�Tu|
%�^/��p�W�"�y�B�9��Ni$��j�v�U�
.���]�b��l�.?�:H��
�R�;�u�tr�'�k��W��kr�hH�\\��>��X��� �"e:��|��:G�\%�M�!�<� �TTr��-Or�JN��
# ����kZ&KP�����'P�R3��!��X/TI5�����������q& ������
�����[�]���_^UE���;vQn��E�no=�"���n����
0�fF�������@� �K��_T��Sf�W�_�w��]wQ�0n���w�G�����!*����*����S��#�����;�I" �v��_]���(y�
l�����u~�����&��HM2�F�G�O
d�*:��+aN�
���:x���Nn{�M�����@������T�F�8�
���4��h&��)��V���\��p�eL�V�|J,�V��27%u��
�Bv&6��)�����J���3.g�G�^���R���s`�������t��HQ2��0P��r���^���p�|J��k%r����Z'yZ�*����<�����l���ng��o�Cr��
p����<�����������������6����6;|������sR���q��T���
.�Q��|�/gr���w�������c}
,�W^Z����TH�W�����S��.3�O�q�����M �M
�����B���� h��P���}�E������.�)
z��[g�\
����{z�R��t���,�>�������������` �U"W�Q�����0����v���I=>�b��cc��Z�_��������,Q�
�GU�H�*�p)@bCQ��y9�T>D�IW����;�����4���8I�#9Hh"zn��������
(�F�
����V
����5�j�����5P��
*\(��f7����w���|�2/������NJ�K�R������I�e.��t�����2��#��&
�����$$5��"���8�lO��j{�*�z��_
#-�5��*3�=��_�����o_����1������o������u��*�u~�R�r�<lN���+
�~i����6|����J{��o��S���������:
�����������]�z��vEB��
�q�J�M����Sy�+��p��:�*b���Cp��j�~�k��9���=z��#D�����Q��\�%Y�?��q���.m���f���A�d�
��j �5�� �zKR��>�mm���j�.�@QoM�����Pk�N)��{$Y�\�(M��G�u�-ZUi�����FI�F��U���z\<��i(e�D]���t��4%���e��VH����������"�\vj9
�I5��
��$����+���
Y�y�K�OK�<J�$�N%)���j7�m�����@)��B�����H�����
!��)mkG����9�H�%�?/SF�5o�r��sTs��pk�9Y���$���*WU���|�tJ�9f@KKc#��Z����4
��������hd�nt��K��dj�V�o�A:���������;�"8�p��O�~�x�Nx�D
������V�
�����@z�����_�[3�nNA����������iv��}�u&�����<�)L]1tA��1F���3f�������*
�p���E^q=�`���%3+c�J1�-���������;dmQs7��A�I]����1�gC����H�Y�w��_�}S�T���( ����^:�lGr�o�^@���=�D�'zl8��
+�Z�
]Xx
����
CIE_�k
jB�|�t�
<3�GgI��������(1j�s
���M�)����4�����R�2���p�]�I��_�� ��hs���;{|nKFIa�|[�����#�v�\���v9� ��M�lYu����\j�Y�I�j�D�}����
�����e���d�QL y�/O��
���u����j[6T]�.�^����"�d��*nB�j�o��z$�#�����W�N�Z�������V�][q����JO�8�D�{&��=�J@tkE�������Y�Tjo�?���G��,
�,W���N�����&���?�wY{uxt���s�b�����r���S�Z�W��-0u��������8��"���9��KB�[�l����������fk�����P���F)M\��6��(�U�<��B
m<5
i��HnV���X.O������������W�u{^�j�1���G~[��6
�&}�fN�
����HO�-�`� �'��1�������
a/jS�ry���nI���^�?k�����r�5��e�|x� ���e���U9(�����A&_2� W
)�H�tmC'����Dm�v�8��!*�dD�"Gt�M���R���$��
��WM���?�B�i�l\�}k�N���������"����tV|����gN�zy��<�&�u�Q��mJ]�l����2g*�2�
��K��`�5��l��#���=��Y_j;/O�v�RPm�
[]����
em���&�/�����&�[�����r�zr����
��T>I�I�T(
�������Y��=I���,A�����M��I`�,P�L�V.
���n��0P�t7*l�]YG`
GH������gu���ED����w;
`7�Z�M��$��T����q6����p��@/�dT��:)���#�B6}%���
�~�a��m���w�\�(���M�P�Pg25����p$��
�8vk���/�W�S��U�W�!>Oq�$���
�G���e?��29�pi/�A�����8p�Z��i8��W��Q�������R`Y_)��*8���
�m:��E����S����X� ��Q�
/�����Yn$?��t+��"��=v;
��E-��C%2U��$LF���9���~�&U
$.�q����@�n������!�hv~v�J��|�
+
N�SL��G�d��� �y��������P���G�E*������6�����S&���D\�yHs��;?$�lNp�K
o�t�K���_i�2}�U��}�D�����
�9K'�v���#�
!�%���~�2V
�*=��~��$����� ��r��� �R�����cU��o
q���x,�
4n �Ve1��T
�}I#�9�H�{[���
r����4���|�=��y�Rv��@r����E7Ag�q�2� G/I�T�|���C|����c�M5x��`�A#In������N�B
�SU�X�I�E����R m�uj�:f�-�x��������Z?"�R�f���\�%�}
wJ����r+�����}�&��z����P:_\
���aO��D�� ���n=/��:S"�?u�0
����j����{� �#���
�,�RU����{�G��;
�� T${m���Vr���V����^��v�z���]m������Q-)� �&�/��4���;|��]�t�E#J]u]V
�����j�M�N�S���6I���T�H�������^�)zA�Q�p���������Ht�
6�[��1#
���� ?�n[:Sm��[(�}V������X�r�,�g��8�G�F?������#W�v����
I�R��n����4�����K�� Y��:�}��T����5+�s���NS���&q~O��L�X_����G1C��zM
��������'e��L��[p�r
��`
}^_��s��5�T^4p��!����Y jj��B�}cK�X�(r�U'Qw�
�OSA��6|�S%���ma*��Pz���g�K2��
N�L%x�:��R��~D]�
:�����a�
��\J
����K�r�
����������+�7O����������������(0���NX�
��2����(QyB���������e89
'���*��������:�(�.�����^�!�-)��2+���$.�
���VU�)E��C9�R*�R Xb� 0�V�������?#�����K��R�]�I���F�[��*��������xQ���{�xN�W��>��
\������T/R"�����\j�r^��9|)*��#�D��M�G&X|>��
w��E����w8�!kS���j�
>��S����)�;��������v�]�������*xK�����M�!�(�N��"Hc� ��c�K3�DhJ]P�(&#\O�u
���"��y�>
�lz,�P��p
�}40��
�P[N:���������C�����JY��fm}(�#�a������U^�4A��IF:�w���5�Z�A�8�'�iv�������
|�3�?ko�{�9��P����$�
�PA�y6
D��y����|U7����x�%(����F0/Hx�0I
{�3��a�9�G�����mx������T���n���N�S�
��������cW��m}2��N@���>���^nz��
�I���h3 <�kXwo�v��s��mW
��GG=!
�f5w�w�~��]�>����� ��Tm��6�s�:��'���Jhr$
��&����L`�X��i������e��
uk������� ������=��'�0���:��E_�,%)#7���
bm�+����E�)���h�S�p�2�t����:�T9��QS��s���Ip�����ixM�+3��Zv$I���2k<m�!pp���V��V�PQz�����$Uo��`�'z��.qfM�b��c$��dS$�>j��y�[)��Z�~}��M�VA`)�G����w1����b�
t����v�U��Mu�
�S;��.U�����u��V#�=��\-���=)�>���h��yW�H���vw�9�$|c��t��zV�>���`�[��� ������9�.$�<�����1��?����7��G�����G;
�C%�|%]+��{0�3h�x��-7�������pY�+!�s�vW�B��rJvN �&����8>q��P~����_��)I:_[��%yu�G9����M�)e��F��;N;EK� o��F��j��W���W+��MJh�2W�|$�2����S��x� U�Y����O�
�r��.������.e�SNn>��|iqw�
]��������
R�5���
}� ~���K ����+�ui�~Ws���A����G5��bh����@,�Hx����������<��!�1�^3
����Z0�CD������n�m�
$Y5�<%����f������N�D��2%��j�Q��q
[;���AT����2����k=:��v��q�HM� n�����r�������)��!�����������t�;����E\;�w� f
"�������
�'wR��.Q�\�
ps= M ��)2%�j��'���X��������cQ���
��i�W��f���9�B-�9IGmJ�(�<�T��(��� ���I�nH��eG�-��l�r������C!���MI� k��K���d�D��v���C�ZnF���T�L�Am_���c$��G!&q���-�\W@���@:YJ�����J���Q��\��+�G����
FOKy
`��P�F���i���K��K�k����������u����������� [H��E,�Q�e��V:�M����a�=�cWvC��G9���8~Rp��)Z��������x��S���=%�!���6�i��M���
Z�F�#�.��\�&G:��W��Psa����5�[B�].5��,H��5
Y�i���v�s,Z�9Dh��T����fT X��G�_J��J�Lj�-�q����m�M���[��:�l��<�����":�V�B������
c+�u��g��}9}P��6iyg�s���bN���Uv���q>��&
W�K���xs���b��~���D���������P�;h+��� &�wl2"�P
��e�X�
3��dEQ<oU�*0�����>����[A��������
��r���n��Y��Q�?I��da��(y�����0��OQ�%.@Q52�H�! ��
�+��?�l����<���T���L��jF=��� ��V�w��S��t��gNr��=��^��R�$�9�����+�����FJ��?5�d���(��G�)�R�uAn�
������r�S���+&�l}]��
���)����A��
�n���D����N���%����5�jjr��o�Y��
pr�rY�j�H�:���A
|^
���^����|+n�
Q� $q^Vw6
pRH�������lI[�]��" z���F�LR&�'�'��=8�7q3���ZGEI7�g�f�N��m����=�@"U�n�}@j8�
�J�T�����
u���NR��?���{,�)z�1��l*��an�>w�_&;��<������/��J�$k���S?n$�3U88*opy�������UJqP��e�@|Q�S�Y��^����FfP���l��<�yU���0@d�G*l���F�Jdj_����g���j�,T�8��MeEy����JLRc��c#�j~�W*�v���G9��<�������fU�n���3~=$�O�;I����|��
j~��<����s�.Yb�aw�J|$�Sw�of�$��$g�Q���KZ���1���(Mm4thcV� ��
lxw�S2�qmc%!�<��R��9����x��������a�
l����K�P����Z���?ve� ��o��Y�R5��
b)�
���"#���
��`D
��9pv�g�sq���Y��J�SG�*U�3������]Y�
-�@����Q��N���" ���u�~����]�IM��82�Y�$
R�&<� }pIc,9��A$��q ���x�����uc�}�g#���A��WTD�[�����:�n
�t�~\ � S$�K+7U�+��E]E��s��R��9��{�+J+��q�'`*�k+Hk�Fv K7�����
P�� ([%�����������%�;��+
S��
�$ �cvwTuRH]Q�
�
�N
���V��\����Z�>��Ifq��S�� ��<F���@&o��x����;��%m����J�&��*\�
�q���T�'��
w��a�<���(� ���`N'���Y��!VE �Rj��l��\�>�A
�����^���*Y� ����[���>��(w� �xSb/�B�x���xouw/e���h�I�C��"�9s�5�tG��:�lR�J����3����9 �H��G��X4:�����P��y
������
�-�r)�W9-$�2�r��h���/��
y�,��H��%�f�pw�t�V�U=DH`�������t�G��k��������f`���kJ�##�4��xeu0j"^�9jV�O{����m`P��S��2�_����Jc������*�L�B���7\E����_�D�������������_������=$Y
�N�%@R����Y�+�K6]����t�zz
����
W���A�[�������\;
��t���+q���%����f�
i����^���]�?����T~�=$w��L�rQQ���&����~�����n�j=p{fQ8����|��f�5'��{)���
�o�!E��x��i^�
����E%���a���lj7��I9�S?4\�uv]��Q �^-�
����
rD(�� ��
������V���������
I�GW�
Si��)��c�}9��g:���SX��p�����
�?)?P�iy���A�G;�4%P�x~�G}��|V#b��3�#��g
��P��b-
8�:7UF7��(��I�����W�u��fW�lNA T��H%'5���K��@��
6i�����f��>��`P���m���l��k���/A��M���%�M��J�hr��
��
��n2k�������y��F�#>����3)�k ���5��
v}m
5�m�� F����U��wr��Z�F�uy�B?y}<x��T����������gW�<��~���-[__�����8<�S�����XP�U��B�I��R�J
&�`����
��������f'
����h���\����Up3=+���{V
�Y?��);P7N1��:�7Y;%��j�x����i�m���ByeDq����1�����
��#T������a����9�c<��p`����s`>�.�k��9�f\9
��9]��
����G�*�p8T
�
�2 �Q8�y�kcZ�A�?�:T|j�������q��bQ�&kl�������W=�!�e��N5�q�@���B�/�"bh<�4�����
���k����IP�?@LT�:Ue��
*�d��?��!T
X
^
7Q F{Pb�tU*]���:����S�uw�t�r����H]���}q; ��-��`z��,-��i�C5���}w�djOf�����.kU�J���k��D�(K@}M�@����(xW+��s���]���������2�K*F7!>�,�<�mAYB����8��g�H��[���z���u)�Lp���E]6��L�w9p6FC��K�
(�n.B9_�
���y��m��CJ���%�j�WA������HF��NK�5�
�G;
K,������\-u0����{�1�1�T���:
��t���&�gk�M�Aub
�i�{�=[n�M�{��I����O}n��R�y+�4����l(.8�Y>Cr+��'�����O�}9RxT�_����=\qN��T8:�p\��%q���I,/j:�4�����
)�
�L�]��2�_=t���y��{�|�o���{][���d
Y��������"�
x��
�V��{����"f����S���N<�#UN��
�W
W��8q����f3K��W4St����'w u�=�5/�e�u�O��Eq?���uqTF��o�f���w��8��d�=$dJ����KK��9��VH��+��f DB��7��m�����j��S=�& ��yPA<^����z�E�e�
��?���s��Nf
<��RZpP�i�c�K���o�,;�8�JsI
E���j�[�J���G���P���F
��s9�%\R��#�C-i���E8(�>�P��1�
��(f����
�������f����3m��x+�
�H�n��N�F�)�b�U�^�������@ ��l�� �x\~r�kRyWmc)�����u�wNW�Y�9Xw
���eT��|R1��NJV(�K���K��Z'�/
�\�T�������0���t+������a���#�{��:�Z����
����3
su��#��)������� �x�s�bX������M�k�KO�����r�N����,��n�
!4=�.�
I�T���R�M��q�R����U\� 1
8N.8�Q
�V�qZ�
Sx��-���m����\���z�q�(��x��W����2�W�>�Qe:�
Q*��� ���|s5yi�]��������5%}?#=5k�t\�I*\`
����%�e���q
��M�X63*��a��S�2���g��bw����Y�z�B4g �v����`��iN���$b$����@��:���5R�
��.�}�|�Y<��W`�_���}}�� d)��"�N8�~� )VT�q��]Vh��'M��:�������^r����R�99g�w����G����(��u���<D"��a���m�Q/we[��>��(D&�����UeU�����y��Z��%�(�
���C�\g)�Qw
'���J�oFE�9PaO[��:P���A)��,��(i:���cnJ��y����@&��)�����f#G
%�4���J�=%�;
L=d:q|U��L�
�;F�������e��HY ��v���q���>X�k6N�T����>�V�$
.
�\U����w�DTW��c�wP�(Jij�Z�sv
�=���{�m�n��'A�Y��m3$���G
�h8����zV�.�nE��rg�Y���='����^ ��i��Yy��P���8��}��v�;+�����;�����M*q�g�]b���uZ�I�H�t����P���@J���c�.Y��0"Q�����0������,��!mYN�%���K�Z����x=��oO.�RY���W��US7E���'��Es��B�h�����#�Ym�eJ�����"I������$�����GT���F8^�S���@�7�<�y2]�!E�E����5|���FH��
���d�]�Jw-{ �|��V��l<�#+�����Ng�Yz+����5#�t�~�>]���;\�V���*4������e���Q�$8�w��*������+��i$W�09��
���"�P���d�
A�e3FTo�?�,�EM���
)�
x���> ���0�B��g
��v�V+�GOkjC�����s��V|EjZ��eM����u�����Hz
��
��k5����
��_H��^�R.G� kn�����5]_���d)e�)���S��:��'\ �3�Qs�%�FEW8��?Z�T�����E������
��w-5�405D��|�G���:K{�*kV��Lg�RkG����*��� ��?I�O�K�qZ��>It�S�
QDYM7 �J��
�GE�����������t�ExWo�6l{]�J������#G���Q���CTY��=#�v�M���$(VyTJ/N$�p�����>
i���[�f���#�TZ=�����R�E�E���Dv��O�S�h�{Gx|��Z>�`�>5��Pn�z��qJ�
�f)����&yP�zR2Y������T�]��W`M�F��� �����������1L���k�}�P,�@��!�
R8=�>
�6 s�/�f�2�r�w��PE��� R
�4O��y�AJvH�K@�EU`��pz$�WB��C�
�s2f>np��8���_�c� ��$�����������i�~
�%�� �������_�g����}������McaY�$2� .�r*�0NU���T�q2�3�n��a���^�;�S��5/�Z�������Q�_
�
O��C�8ju��$�
�� ���o%��=��]��.Z�U����8D���>�s>O�|�N��D4V*Bc���O�n��_��r)�@��d
��[�(�
G��Z�
���V�F7^e����|#���G����[���jr�����������bA�����|�C�c����UGeytI=�� ���%n��|Q�p���I}c�;��O
�+p`��Q~�>k8��'q���]"���U���b&~
{
`�{X�4���JZ�oUXM��2����n`����3�J]1~]8$���������0��u���
�����i�QD��M��T)�0�+m
�\c���
Z�*G.��pr�DP��
�u�Wy�G�*���F���]�t�����M�iA
�
�:G
�t��N����U������x!�:
�=��
�
��N�������7��,���CN����B��hp)��
��s"��2
!�Uq��%���8nu���^W�������R�\J�+�a����22�(?@ute�������#a����*� %>x��K�T8��JDeq�Az
��_�%
Pu�Y|�e�B'y��I�w��
����+
}/�3)�R��Q
�dN8y� ��<2�e$+[�R�^NV�o�h������M����^Q5tj�L�*���f(�`��v}z��)+5`�C6��v�)������
����n�V`����k������)Llz7X�6�x*;�:
J%�)����#��K?����` ��V��W���K2�������d���V�<�x����p���������Us��5D
6��J��������4Y����[�\���]�������QS����X�]�^�� ���}�-�UIQ�G
�x2�~5�}[������tD^�&�GB[�# ���,���4c�;P�H�,����)����#��{�����4�Nb�q������erQ]RN��)S�����\�b���w#M�p�(Z}L�
�u`�$]8>�k�N���c��"�������>ZW`��c������5g����
��?]y��C���Y
���^�A�
�"B��A
M*nGEtG�:4��������v�����K�/6i�Z[=`E�����,�b�P�HOu)��Ov�@����3�`�u�qqj@2#���
0YK�W*��!�u$���v"�V��-�%�� ��u
���Y
��VNQ"�
�����
�Q�Z�����{I�x�C��k�Q����
p��pe��A��f�.U�Y�d">��vN Bi)c���n[���J( ���|�Pu��p�����bb�f&�V�
B����
I`v�C.I�����d-�%e�����
�o����X+"�"n'E��4,��$�*�T�+qO�~��"Y��$�����������.��"�B^�����
�V�Ji���U6v���IY��O.�����G�^��0�5U�c�\�1��f{�WN^����]�
^�@@���8�N�y�;��"���W�����9�����r��ic����l�������W�S��
��1 �����d����)*?��W���+�x;�&��`y��qJ���I�v@x�a8q"�
�,h� ��
o�>��d�T��R�L2,�����$<<-���=�Z���.W�9��8@|RT�UAY-�;)y<�mW���0��$M�Q.����D��(�1E���J��uL����b%�6_��m!h�C�q�V��Ko1(*����`������0KDq��_��+���IN�)Y�����3Ws%���^�.��b��
<E�|;jU5BKuV��('���.&��\��i��
�Am-�'''�����sm�V��=u10�����H�1��5QGQ/���u{
M@D���=������R�����P��;L�?.Y��s�M
�vM���0V����y��
������$�'@T�G�>����{��I�DG���(;�
gMI)���H|�
-��}< ��R���O %�6 ��S�gY�S
y����,c/$�������N�1���l1���C'o���
�r S�2!�K����������hP9[wof���M���6o9��e"�]A�����U��5{��H��S�g?���"���~u)�Lb�Q�����C
�W*����?��?��o������2
��rU�����(��pb���.
����;��I}�G������_�;D�:��N�>�A;�K�D!�cf�e���D
@@�3����<�����S�CO%��<FV<[�_�EQy^{�����&�
��v�'m�-Q>_�2�!],)j�g�/���3m-������P�����
;q|.�2<@��6�r�
��<X�
��B���HO�ON�~u��Z�;�:�������]�P�)R$��������c���<S2(�������\�����u��u�����jTS�
M�g
1��)����2�J�����x<��������e�VD
����Q��%�/S�����?Q �E������;:Dp�dS&���zm�:��T)+%M�x����us<k0*�7�s����:Z��N���M-����\M~,1���t�8��$����p6p���*���b��b��Ru��T�7���u��x���A��KS�V���� �
=*���*�����jt��"8���f'^�6U�T�q�wt+p��
�X�@E����6<)e��]�-��6���J_i��R�"�p���OC��2�����1�y ��C���V�}�T�^�#}�B*�����{K�Q����lPz@�?�$_
1�cT\�K6;�Y�0���K1;
��}�c5XK2��5�q��� "O��s�P��8��6�kk �X���E1m�'vt;H�Wx�'1�����e������mGu/���r
^]]#�c���rtz�r���;�~w;��^�����m��e/����
�iv���{B���X�=���A]4��#�TEB�6����cVO36uy���3�i�;3��s��<5���]�*��-u������2�*���t�VB�3���(��y5����l�
n���96�
�p�cc%|��i�H=�^[5/?���@?E�I
��G���_,��N����J��|���6�x�����
��lK���v�f_T�L�y�
������f���u�Av�"bH���#iOJ9��j=��.PJ��_ �Sy?$
(�^�q�k��O2�_��\��Y���C�����R��U~���r+�PM�����Q��+���V��Q�,�4�zz�
JPF���
�?V�.;!]"����� ����J�T���Ec#�>��e���R�� �S�\^�
��$�&����}t���
�cr+7b�.ou�h��HH�*��z�<-�l����������������,��
�����ZG������|��_���U�8��
d�D^�
��#*72���}��E�0��!��&����$�
��ui�cm�]�8����3��q
^�0�up[=�:
�A��
����?�����\����h_�d�KQ'�
Z+����e$�p���C�:�]tQ`r�!��p|�
�.�k��f��? �����o)6B�"
��UR�MA�K����% [QE��V������Q�)����C.�q�����>����l�is�d��:v"��r���U��i�.j �����C�YFL���l�
O����m���_�*�r��l��
���H
������i�����OKMK-�tTXB���T
�t��U�ze���(�K�
a�J|<�5���tGx���#�gW �#�
����X.�x�}e"�\��B�q������d+9_��C����
�i�q\�q������9�.7%)��s�V�|����2�
�s��u/���������M�
uGc�RqA�L��zuZ���Qd�i�3�������E��iN7F���j5���u_��e���Z�e_NJ���>���[�]��NA
'��^����*
�|]!�Y�>�v=�Tn��yY ��K!���*����p
@�
���
X@�Y�����x�Q�ik�|��pn�h�
�!����?�RJs�/�k��I��������E+����n���J�
l������RDW
q%�H���;�C�q��
.� �M�;�8)�u������Qw�����.�B;5F5]�T3Q�^�����
#cSYU{U�q�}���d���O����)�L��z��P�������$..��{���b�f�M;�� ����u��Wx�L�}os�)�"�u��h��>���PwR�{��)]w���������&Q
���%f���bK�����r�����]JQ��|h�$�ImSP����K��q[V�Q�=R2(}��=�^�{h�K�{��9��Dr[2���4������ ����m�q=�I��)� ���6H]���y�&D�``�+�L)�v�����p*��;U,�l��u�r��
B�r����fY�6�
]@B�����p���'Tf$`��@d����R8Kb1�������i��,�2P�f��Q
Q���d������-��p� 'P�5�&��o������?d�������r^���
dvE$4�y1��.=�yW�,8���q�W
���!c_������(
�='�T\���Q)�&��Q�/R��
�U 8�5
oe���8���
��H�f����*�-p��9�j�=��E����RN�/�4(�]|��q�#����$���p�)B����1�BL�(3E3���w�LM"������4%w���v��]'����IF/�>��B�r�|#���/��$�+?��;�����sU��-/��,��_%{d�,p��>����5?~�!�y�����Y]P�����:��-�^���p�[N2��ZN���u��2 A�����Ee0�DM�D��[A�5�����S���+Yq,
����E��E��_V�K�K��q��@mg���Z%�
�)d`7��k
�i���*�gB���Ur!G �xd<n�T�S��x�.�[��ae�8W����(�*�MUW�u-
p�xT���L����������#
tl�����5�b��4�HfPL���B�Wh�ATR:$h,J"����(�tNNd��s���S-vW��l#�I�jdi��~n~�B�N�������
�s�����uy�
�8��� �8� ��~��U� ��w5i\&��1��4i���uoR��-"&����@�d4�Q(����<���9���
����|�[rG���d��L"�2�pw��:���} ^2���n�������j&iH�
!8I�w�]�(�~�
q5a��#lTC���C�����zs9ax�!����R��V]� ��u�E �)dy,��� ]���j)��B��]��:���w, �����W.�B?X�/��U_��������w��k���,~)[���z�<J���������<Hv�8�_Z��+���8]b��J��5L�����2�?k��@&���T��
���@����������l
������:������s��-$���(��������7P���T�q��Q�,
���"�6��J����
��/��������O=�\}k��W5m�Zd�����KT&����AZ$p�
�<7�,���U��K}N�1Y���$E��:
sr��.�����������8�3�W�$�����0]S�W��w�K%�%M�j��CO�����&UG�ZZ�g�����,�v�<K6BO�u�A�Q�/M$�^k��'���%5�
�i2�?wm'�
��>��\���K�v�R�g�+i�����x
T�7�6�D�T���ad�h%�J�������K���$��
���])vd������EY�:��l0��+[�J +�]��n.���BIN
o�w���#�/���w���s�<���D=��@Y�c��r."[$�f����
I�-{�[�����PED7<���R�J����' ���r�
�f���0�I }x9�.���'�(e��%�A�5�Y�<���'�
#���c%q
����{�u@��8yQ��
3��h�Zv����jKY��>F�|r�g�!T�<������
;���+O2H���8�Q�3����Z�F��u^�*3��
.�t���G���%�>n0|V
�*���V�XI5>�J�����E���������<�A� �e�vE�����*'t<E����:C�]�uqi��+C-WU���3�8������fR�0=U^�
�P<���
��(����5��U�
��5�
��x�6�).��i��
��$3�{��I.�X%V����Nf����$�\MnQ����r�m�%��������vtdb���Ck�^�\3�W���o9��RCt<���)[��j�k��iJKk�H��*�e^�s
mef��)�7#tS�+E)@�UZ=�����Y��RS}5L������
G����]�7Wkva�k�B��:u���+W;H�?����uC���I�{=�
�s�Nm:]}9��+%�f���;��X���^��
���P
Z���}T�k����*Ua�!
/o�V)��`%ZeR�e�`}��ZyQ���;�����(��sPlL���Z��
�.w�^���g��B�Z����j�>e���L*���z^�' �C����m��M���s�PD7�^.���X��#���T h������
)<i'��.�+
��u��}]���
���UY:���|�nh#ap�+V�eT��6�,g�%���%���}*�������]��5:2��$0%�{id<���y�_�R�����������vpH���k<uV�4�"��E�>�g���3ny3��
:=�WC`�R:��_�2������9Ld�cy����
���m
��Yi�
�R4.� q� /
��v�*})���uj�!M'�9o�����W�\��tME�RwW����}� ��g��i^*��.�<��c�UP$����`�b��V�Zk!n������=]8'N��g��W�C�IU�C�l3�#q|�y����_���mj�TA"y��[_�q�� ����Tbv��Uk/5��tj�
�}�l���D�S��M��KCV�7��n��@�
���]��j�FX&A����%�}7�RZ�����L � ��R��9������n�>���r�C� ������y���}�����Q��6�C��5���bl�E7�=����7+qYg#]c��J�����say)[q��8�E1j%�U��P���3��L���<��Q?=M�Nt�����~�[���
gk�����Yg5�P$LG-�5�|��f���O�\Fk���H��4'��:�v�� �R>M��*�]��a�IkU��E���f�������s�_2���'9��x�&��tr��v���Au ��D�
�J����n�GU�m
��j��+FR���+�������� �j@#[���6(`������&�R *}��.E%������\�M�_�
.����W��V9��}^iE�U�����u����D��h�w�#�~#b���g���r���:I�.��?@��[mA��mGR��JS(�����*.��������V�9��M��J^�����������H<�,yhK
������p6
���r��I���������/C)������&����B^Gv�{{GM'h�W�}4���`��=+�)�/
�
�)l����<fDno�<��e��*Ja"I��E���+br
q=�L����>E��651��oGI/
�>3��������I����Z���7����7���������7����W����]@W���"/j�
����q ���
��"KvA�+��gR��:���
���ss��p ?S����M<��$� .7����Tp��N)��1���5/��~:���������g��r
���n����H6��M���
���]�������
q-�, �A��[
m� _�����'1�K�1Z��Tv��Y���pL%���(���%\i��88O�����E�.e��O��U�%�K9fE��
N�y�di5�,G���2�efI�&3.���e/�e�|�����]�R�i����uB��# ��i�U�v(y+��<x�FD����p����UT1����f�����.�WGaY��q6��R��-yOI��3���&��(Z��b��5j�
����Q����B��Q )��;%��E���%o��6�;�,L�����f�M4
��QR�J��nW�I�z����$b��}�I5�r�p�������B��&I�_��F!r����
�� � n=E�:�;?T��������!����G�I!��
��?n
6��N���y�W:��2� �C�����E��$�@ [O9��{���x�W���/)
�S�����
���LM�{
����ft[J�J��k�J:�:
�� �4
a!;�3y����;�"��KF�Qm�c���B�P�� ��9 ����8�#�e�7
CmZz��l�$n�����23N
}�K ���JE��"sQ�C�S4 �����R ���C^%����SM(����� �X��p��
�t�T�I
�T
����b��Cb
��p-���o��H9�� �kt�������p�=��/�r��DpZ;i�:������I��<��&�
���*��@��,�U���
2��
��a �Eo����.o�w��8%���>�S%N)�L��b�!9���y���L�F����)=���I<��u�
�^�
h�_5�n�D
@&?zT�G�j���($�A����h�����cR����T�b/�������FJ��:���$1m����^EQ�f�����m��b��&�!2��k9���_"l)�x���X�����tGI��a���
���\�������R
�
����� �"�n�;���D���E����p���f
�q�����1d�U����K�*S�.��{�Y�Pe
����_��
]W�F� u�
���FM���.������������R��Eq4������
��G��(6�,
����W��+L��C������-����JK��\�"�
�zb4
���1�����#��
R�����+I~��0���VT��S��%�[�@�\�NQJy:��z�AVH�����������Jg~��
���&+�wk0� ���Z���h�7�
�����
����&�^n�h��S
�2�����c�
W����~�����
H}M�����r���V
��U�fq�N����n���3�>�&����������-<��:��M�����c���]�I�=+��,Vg�t���u�&u��H��#n#����&!��=�/}����l'T����
z!����J�z.�Y�z��a��U��z������&�$[Z�h��f�}W���!]���S4w^�\'�\IvU�n����,��O@.��HzC�F~tb����t��R]�����cE�|\H��.�����A��._�z4�I�
���H��@Q<}�g�"��z�Dsn���\�����g�L�d�hu��R�C|
.�1��t)v���/hF����5��`�+F||k��>��
�9�����A�u����@b1�
9w"n��Q�T��$�F,*~.�����I�t`B���Y��������[Vd�_�B�b�W��iS8$
�}3S��P�. 1~
)��������x�U=T9%���Vo9K���.]�����+�������V����sx� �iD[�r��vw��������9�}�-G�Z��\;_���������:L�:.�%��@5��k>vG`�2z].��QlX
3w��l���9N��$��NU��=����U4/�,��h;�x�2J@'dOG>Q�d=J���^� 1��?�@���|���yk�&���k��������.�
GY�asom��n��
��^n�
2�\U��oW��O����-B
T�}OG�������r��b��Q��E���
ReXb�������U�S� iM����F�2�M���+��2�e[�9��6f6���
��8��
���i
j����Q�������TG%k�E�\9� �-w�q�S+��uq��R�f��K�|�&�]f�����J ��I%��!�E���c����:m�|��]WT=������~�j�<��;?Z J���r���_u��xs�IE�1�6�b��4JS���r�k<��/�O���';�,����7�vMVkU������n-��K��P/�]v�f���m
��$�-L��L[��J��P���E�S�7��J*��=��D��������W��T�����a�e�
��j��#��)}��0x9.��D�Vv�H���Ev�����l\���>�W�R|N����Uw1�$�%��^E�=��(%"��f�&_�0]����]c�:9z������\��4�(�!�}���C������o�'��b�6���~���'��?��L��4�P�(�ho���.����oQ
�m�%�O�p�ijc
�@/i/q�)��|\���t�����k3��
J����_���y~,����Uu�g c������&�U��6��m+4�"����8��+n�"���v�T�i%���8Z��1��R2��i��[�����
��
�2t~n����5R�.\v�c�]=]��Z[*I
���/Y���!���p����v�������*\{�D!Gx*J������u��\�Vv��3���(\�h.l
���|�
��r�$���
a�. e���������:5��+���\�@����A���]'��+�|�[r8�
��U."��))PiG��:ug�-��
'���5Q����X��.��^��&�4m=���OI$W���L�����T9Lm�H�K�qJ%-m
* ����,�wnKl
-YT@��uIF����h���ba�)L��
@%��� �BHvw!L�y�!+��*����4j!n�X�`�d=�@��a�
�
nW&�s�j�
N]�2i
O�BQ"�6��v�]6���������~���
L�2��}���\F��8�
0)��xXT&��j�]��K]���|6������u��(ju�$qB�T�e@,��k�7��)wS���*�\`2�b{��r�1Q����\j��T�D��� �KQ����#��������V�.LHk/G �s@n���b{��
���/�]84��S�vY�
�6K����,���j��S�tw.�kN�4��T��[J�oiEeN�/2�H5O��L�*g^���q���|��=cI8Z*����%�4�����gK��{�A)�i��J�rp��V^;��U
� I�|�G
��<�@������[�cR�!��+,@c�;V#e�0�-�$i2��
t�`���FRrI�P�Q�\�~�XmU���[�
���Qi]�}
M����ZFG�7��7�a��N�c,���
�[�K�/J�/��UF��U5pw�I28
D.���*��� �Q��X��s�>��z&�7EU�"�{� ;�
����*�]��;�Vgj�E2N���dFO�&7}���1v��
A�N��D�^���� �2���t�dPu�f`��*�_)�D�[�R�����1N����;��P������P�D�
���j��~�������C��F~���[��Q�u(.����� ����mz�:�i'�efr;��=�G�]�fs �'5���N�N#��^�o������C]>�����R
�SCm���.R����$q>���V�K.nr}DQc
�>�����;����Q;,�2��QSW���t�����n��/Zm���i��58����(c����I�Gn�0�2��a4����g��(T��BV��@>��
�$Yc���R���]�3���5������`���y��k���$
��>����g�!��OL��������H�L�~���$MP��{
$�{s8��=�A����9`���\~�
d�1 �<��
�'�X��!����{����@��;������$���i�h�
� �A{$V'��S�����������;
��d>0W�E9�)�C}�%F������'qn���*6���
�>�:Q�������������<���um��:\A��"�<*�s��84
J����Q8D������$VE
����2�<vB���Y��_`���@��s�D�J�y
��
�<o�Ie��zT>_S�p)�����U3
�� ,�CU�g���4j�����hC
yz���
��i3_�T��%��
u�S�y�� "G3^��[:���K�Z&��kq������n���
�-�����b'��e~�6y��
C�/���
��Q��T$)�����P�z��Q���/fP(54�wV+Qw'��� �]�'�(��S{/u~H�C<���
�-���l��uh?*:�S � =��;W��rn(Xm���D<E�������u[���A�c���o�J��A���Q,��UD9���#Q��S���P#�Mu��:'[�"{���5Rz4T��sM����4u�xUS�K[�����BN�.��v���;]z���� SJ���\�F<�#b��u/9�E��F��W���r2%���VA$���#7
�6Ju�l�^��7U��gG�~�U��zH��**%�a
_d����a����l�9l
��<b\|H���]� ���2H�w ��sy�����7*���K���r�<���2�����n��?5��q
V(g����v�b�����w�l���x�K�U
�X&�X�i��N6O�����~R/�w�
QVoD�6
�=��([���q����r{������ �
"A[��u
X����_%�y��z���
� l���jN�F��d%yEr�.�nm?��/��5m��T~B?z�<]����f�rP������x������
�����|�}��=��2%����p#�
=T�/ ���@2������T��
��y9C�%��(�
���� �cP�
7 �TB�h��eZ;����R�I��a���z���\J��
�*lr��S�e�,�� _���O[!�O��
�3�!y�7���L�y�R2�� pB'����e6�D5]�xz�����\R�_�]nBE��J`"i"�,j�(��
� �����.�I*����*d;@F*����k(�b�?�����nR��)S��K��WnlP1�u��Q�bI�PNR�(a@�� I
�����t���t�E����!�!�.Ip]�)�K����{��n3,�k�+qY'&�p���s���tEVD��"������R7XHj\�o
,a��mG����jo��\���v����P�bp\�Nn�u����)�
`A O�n��*�Q;!w/.%�T�� [��u_\��b
����a��
I<�\����*,�dD���iUWg��8���� ���������Q��8��X��������@9�TYy��"�A��i���-�g�
4��@��x��Q��74�EJ��S���j4e���ER��h����I�����dt6'�����]�����������$�����u
�Vm�P
S\F
� ��Q�q���>Ge�����n��I����<����N({b=-]���~(�+@p�n�f�an
[&.r����F�
�G�)������<�:��itdv���>��j���{��r�N�8�v�U(O^}�:����RUY����i�H2�����{Q������b*��Tc��.~�r��0���6����[a;�P/���GOC��RP�,�6b����=
q��'���Gs��M-����r4P?b��@��U�@�j�_�+�=���9U���%JS���x@��Z���a�c�R��P4��G:1Ia�K�.Q{��A�u�<�������.��%z.7�f4O<\����a@i^��r��,)���ct1��������|{�� (�u�HW�/�
�3��l\q-��I\�0ng��B�~U���msF)���Sf�lOp�l
>�f�.�5;���$p���B
r��P���/P������UwWo��r��JQ3`��?Z���9;1yk���~,���&z
�{d����*3��+�Q��h��������
�������)�Y���<
��/�a���y�t*�eD��JV���W�OI��c-��BT���{Q���F�
�����1�a Q��u�������62��Ur*��gx�>�o��w�V�� *����E��p��5UR�����>�b����{t�����7�pP=U��v�0U�q>��}
'�pOV�������"�(m����U[�I��]��U���4���-\��e���jC}kO����w��(����4�{� p�"�qr�G?���g.>P=������U�l2_�i��|~�p��r
�H�'-�������M�J�'���M��L�G{���x��P�V�!�jY��p���r�+%��rB-k �0� ���J�A6@�z��i7�y��Vp;
�(%�K�T��������W��������D�P�/n�'��v�����by��<g�x���� ����s���������[�y��
W�C�dn���
�f
c����������vP�7vd����6�RQ�nYc�
_G+���,�7��P���O!g�^
���8�F���JJ�
.���x� ��<>�#�E&���- ��r(�
3$-r��11
�\_[�E��Wx���s6"�N%�I��(����2�KjGW�P���37)0���$~(E��q:}Y�~�L����X[b*2����#��� �$��\��"�3
���PzL%��m���8)�f���OT�I@
7+��G�0q��7d��[mv�����u*��j�m�$u��
pW���]�U�v�������FB9�\�<�V���=��
�GU�VS�
���
�
�?�2�I$���s���*�m�'�^����� �c���N*3�h?M�lu
AY��=��:EF�n|P>���J�Kg��F�1-�\r�6��������MY��t�����w�GxS�A�m��B��E'��N��yC
�U�;Y����3A
��hh�2��,8�m�bq�+��\\-���j��~��Z�%�
�9���������u��]��q�����2�B��4�$W�4�V�8��j5 k��+W@ �������
���D�}�m'��n�b)e ������C^N+vs8�Y9
3����3x���
���
^����S��r���O@����
�Y&��jA�}��>@���Y��^��$G0q�5
�p���������l�Z
>4P%��{&`{'��.�YV���h��]^u~��n!�zP �P���������KNz1��y��
C��%��T�_���|b{��1 : K���j�P�G��B=g��"��~����e�/�=J��>U��j�.������\�;�H���@
�����tQqWNO<�l�M)��U��s6����)��F����u�>���F���|=���V�
j��p���
�{�w�^���.T����JA7���dl��D�����E B(Y6d
\������������h����{�M-j�&3"�z��q�����+nIS�$�iN ���������\;%���
��V��?$�T
��m| I�����@��z/_s=�q�
`*]n��K 4�z��'w)dO���5�=� ��
$J��N%����I�����<����[u�\�����]�k���s�pA�{���am�$�h�Rq#��L��(����(�����B\����(�[��+��H;��d��
�WC�r����7k[��tv��d��Z�c#�����=��"{
���5������(���I�"^��}�D9�A����_#C�
vn��/R�CO�X=��E5!����{��x��\�_@o�� &{����KP
��)�I
a(��
Q�����u�D�x(���u]Xs��\�
�C������=(���+�>e����Q����4"_�$*/Jc��*2^�f�lm����*������;���[��W��C��Uy��9KX����&�*q�u \.#���`�2u� ���8C��j(�G)D�dj+S����~X���,�u��z��>��p�u���� ���t�|�����DD�Dhs��\�Kwmw2�7�H')��V���F.'���y��9��
�@J��Y<���Z|yI����]�.��2�+)O(��g8_V�O�E��P
P��'��N[�U����P9@
?�/�e�>"
<
l"����o���sN�Q=K)��~ ���q��
P�
�</�i�{�N-��2�<�a�^�
�o�P�8���,�6�)��W�E��U��y��d�����K�r�D�%uWi��D�^F���J�
�R�R
��X�HKz�IP}>�iv#�]+�Av�e8����
���7��V�2[�����DSy���J"����U!�Fw*t�R9:S]��D��W����Vw���w�A��.�]���� �
\��u
�����/-T��p��TN�2���Tw�J�p���D��M�|�>���
M�r��E�
r� h����O
�c�1$� �_]�\� ��^�E��G#�q���2<��n{����7�rn�VWm�Q���E�Z��LD�z��P��r��,�p�U���4Z$,R�
���d�+����
�������nw���y
`\��6�%�`�\�SQN
��s ��=��X`�~vG�]�#���s��-b�r������CKs �%8U-WK�����DN�Wo<$�(@W���
��A�YZs���|��l�';��oK�����,�M��W���N��v��z�M��o��
��Q���3��
�]��u�<���_]�]�����u���
�W�
M=�`�|�U��:����1��]Q�2�!��%��T4+�L����!`����J
]��W���k�_U"%1g���{)9�`��j�{(��6B�r 8�%Mkm�O�D'J��7��
��]�@�T�hWO�O-��P��������zN��uk�L)0���[-O�E�i�l����9���1M���T'y.v����J0Y����Zn4��������&
c9)��E=~�ms"��T�D��P�
8�S#��vS�mx��`6I���7��]S%��������K
��z
��t�����[����(����]%z���t��������W]F
��Z�e��KVJ�:T�]�mI~kv&P*������K1�Ko �h���
�P9>���x��aYZm��=�ZR�E�J��\�k��~�$�x�f}�li�QD�)��y�g8���%"�|�����C��Vx�R>�K����mFI�S3 _��P�\��&�sIes�����Qy{��������l�!e���:y<ZJ�����w��x�0��`�B
���[_M�lU���_����.���G�m���W��=��V
Dlk�/�9��������d�R�����[1��G�PS�&v��yC��n3��@�z����~������Q "�H�A
���+ �kZ$d���;��!�S-�u ���s������������xz3~,��d�_�|@���p�N������m���,�#������������#SXFC�[ �����������Q�A��I,�y�����J��!��5�s�C�;
��
O=��>��[G�u%S!�wX�� ���m�Kg/m
5k���<�SM
nw;��eY#�4u/1~��K��i��5mn�r��>�}�8����P�$Y�����v�<�� �?^���ZI,��bSKGP�9�c��<�EPKV�~�
�vY�����+�<�'V?��Z�M���)CA�W6���G�"��� �
�I
������#����rz�N�Z�&i��G����T�=�1��:(�Bu9����K>�v��xT��Ta�����zT����P��Q�Y�H�?���t.xR�&����������$bT�� ��Gw\��*�
�v(c���� ��PCg�z�6{��`�?f��
?�cg���%�"g��R��F��J�._�/U��z�]\�����~?� �?� ��~"�U�X8r��
������Dv:�S���LD%n�cL�9eo�
��hU�T!��S"p��Lue���V����D^P�
�5���lQ��?�]�x�C���|����I?(��=�K��&���}N���HZ���r��%dc�������p��'��=���cy��o��F�^��T'/G�xm�#�����~+��lE�xG�8�{RB�
x������:����gB�M(�"�e7�:�t�"���3V;������d[.%)����%v�;�!\��W �H���$�d)�M2q�������� ���=���yF�*YQ�}
���R��m{)�����D+2�VO�9�v�ptz)��� �� ( ���G��
P�=J�,���+G�3ele��/-�������@R�F�������%��z�i�z���G��4u^��B�����m�0w)V_�k����gE�K�j!�T�����F��]
5���0P�SM;�����������i[�`C2�r���
c����@D���T����iX���_\��������� [k�B}����4��
w�8�ba�"1U��-A�RA�/��]����5 ���R�:O���V,�:Zd����:�E#z(E��E5H��R����<�KG]�_���lE@��a'���
�Ab\��~,����=��B��%a*�@�p�A]��6�*K�H���8�j5��.a�Q�Z��������I�Bf�K��(%l�j���hr-�V�SM��y�I�j��
������s���!��L8����'��m���>��>���J��5�j
�(U
�)��c)�fR'�[��]a��v�'��%����_4}�1"-�n��AbZ��d���9�_gQ���r����NO�o�e���8����}�S��a?G�M {�}�y�:v���p��_[����
��Pg�Y��Su)���r��)��k��k�|����TZ����-M<�-TW�)��������..
���������
��c
,�p
���c,�����g���)���l�$_e����i
<i�
������8Zs��}�����
��R�a�����v���{P$��B�� �dBb�&���3 �~t�E���5K����*���:����X�}���/�����j�K���
g^�;�*�6�����{
_�����o���5;�����h'�
����s���Z���>foj����t�j����p��q���oz
�M��KB��#�3�U�8
���GY�+��`q����;E$ �\�M���Mw����Vd���8+I�
h�u�6�M�iA�Jp�
��
Q +��+�O"�)0����y�k+8(�H����F��=N�{k*��8�DMs)�����9:Oy}c�g���<ReCEu���u�n����N��@<RF\�L�nl�,�J�W\ch���g���T�i ���5���q���� �}l.��K�����R�^Vb��Bu>L�G�v�{k�M�����E�� Us�zWWn����$-�M2ti��F�����Li�#h�?)��h����B�
-c��?�?����K�)rj���{��Dr�E������o}�n����N��Dm<�4���C���[|���}����{��Zs�No�{xz�f!A
���Z>(���j��������Y�.��k1��qs�������'��%{��YaVe��
�>OEO�5)����t�A��NyF����#��[(`,�+I�/�Z�!�e�)�m9_d3^��yD����Nl�'��L�I����B��%�
�le%>�����".Iz)E�En�I�s91�<Sak��]
����89$�*�p)b����\}=DMy\��-�F��S�*
�%�(2����aM�f�+�C�����l5o��f�.�=H�E�[UE�\��$�-�c���hM^�-of�������n=�6�
�g��
�����z����� e0W��>0�=�M��-u�x~E[=���;�9/9/��������)�t�`����j��:K��� ��.5��M!����0��hW�K�!�+��KB������<����>���'�!������K`E"�{�����|< S�
�d*��������Z0|�J�_�8z��2E�W�i
>�A��.
�
�)HG��++�g�N IU�t�$-IrC���NW�P��5"�h�Dn��������h'�uL���I�kQ����l���p{�Y &�oN�[��Q��M3u�v�M�������/9.��}�N��k�?���eu ��t�#����j&U&�y����1
�K��kNg�V0{<��AK���f�^� |�?��+/D
��
��j�0���5\��{y�fn����� o�},o����3�y
���!��V���r
������I�����EJv�bx�A%yn+:��D���7� h��D�J���i
I��@���%q�����AV���t�x�V��M)��PE3��D� ^P�������N_�cR�hmh�d���;J�/���u��GsQ����QHMU�1��J>����?�f=�Z�9��I�q��I�j"s�,8U/�
f2n�
��U[&@���$����*9��9w�@u�S�����%�Y)P����N�����F �*{t�M%�U+�%��E�Y����
���U����m��h
F
��G(H�&3��I�]G�
�_w�
���n������{?���4����s'��2���w�A��F����wG�K���]yW�H�[
���'[����8���%/MS:������������2��Q�K�[
Y���gV�rO�v�T��������d`���:
��ow��7�~+��qk��A��G���Z�,U9�Z-&����s���uMo ���%����-���St:���}�d���R��|��-��8@�8Yh��8*], ��?�o������Z�t��Kr�s����x9u�v�\�s�����E��G��3��I�2w���1������ws^�.��uU`��(BrT���>86�)���'^��[q8�-%<x���S
�?<2A�\,�<�|��%"
���#Bp������
���������<"9�d�84������WW�����
tS�B%(���K���gC����x�D�+Z�U��^�h���Pd����8n��
/����H�=��)�J�
-�w�RW���M>$�l*���1���{����
������Oq�]6��h
��]?��r&�*��4����%����R�����)B��]���������stv�gPSz��y�
,N�R�`��������KV�Pz�*�i�x/Ui�
;�
,�Z�j���h
�����$��%�r��]\���1�{E�x�
�\����x���6��
Ez/����q
�".�����mq��L�'�arl�
w%��� �I�O�U�I;v�
�W���D������0�h��2�]��[����T�:��qZ�6X(�� ��
���
v��+|Z;,��A��K����)��W����f5�=�������%���v�S]�
�9�<�K�����
��������p<<�<d^�>!*^�f�W1�.�k��30v ��_�$��?�
�f����@����t��O�I���,r��(u����G�0r/:�W�x�\����LS�z%����q��
-T�U��z�>��mg�:I����
��lUPV��)���LB�� ��s�
(~�N��nLhS3k�+M'���
8a�$��z��(��0B�g�w��-�u4��Ih�
G�����e�Usg2�x��aU��+�+<�4x���=L���bP ���&���GC���j�Cg�Wu�@��V�z0}[Dc*�� ��T
���q"�NUE�{j�����{Bn��F�H�F ��\'J�"o[h� *,Eh
��m���O��N���>�h:�����n�H�-��N`Ii8�����#�!aKr�&)�# p��9'���'�d���"Y$k�Q�|�l�P�Qup� u��N%����7�R�~"��s@���jS��mm��1uc�Z���f�:�����.S����DLrR�&g��|5���U,��v.v.�3��q/��=�F�I�6j�V��T��~.�O��F�C�4P�X}�svn�u�J�����U��d�� JS���:{�����)'@���)�1�N��y���@��K�&9�
�C!1|W
%I�j([�RMb�K����u�� ���t8jj�OE���K�
=����X��y����E�C�p7�,�����F�����=��
6�F�
~�t�bZ����z,�NW*n���-_�#F�����6
�������G)�zJ!^���*�)w������W����g�AnsO��<�)�z �r�
U(�T�����T}��`O���u%+r�H��yZ_N��=��1K��!�g>Y(��}N�
���e"�.��tm��
������r���|(�^�u� �����\����MV"��� $�g3C8������z��l��Wv��$��v�
��ig�+�~�
}\x�T%
�A���wH1���/�z;��������Y{*-7*����i��z\���v���3 bxr(�d-i����,�`��L�y�n-��B�YS���p��~�JP���7�QM%��r�jL��L�kz�8x3��5H��u_^��
�Q����5��x
�4�C���V�
��F����%�gxx+ZP^2-������\��rn�]J����VjR��y����$ =�������u��
������V �L������7.w����
B�����F��y���&��(5r6��S�y�pi
��Y�.��"�
�A���2�
8.g j
U�����T�v�G�cY���n��
��[���-]M�����8��mU)
e�����e�6�7E{JZ+�?�?�$OU��.
��7��=E��
�$�k6�C�:�����d/X���c.����
���K1I�N�vu��������v��q�w�Y�SP���X��j8�A)����1
�:��Qo�
��9�E����I��:p�����
����
����P �g{G�(�����^I��d}�=
e���������==��I���U4���
�����|���qc��o�u��n?�j�%1rto��������R�-n�=g��r
p��S�[��7��\vy�r�s��^ ;A"u�#V�\U ��W���3H�}�����j���W�<~j$��"+Lh+0P�b�����|
�k����A�~Q<��~��%�D�
v�A�8nP�*��]��6�&%�������}���Wv`)
s�d~P_��
�������_��k��N������wq�����U9�H�1 p|�*,��.����X���Y����*A�gU
V�����*_PWs���
������tI}��\����
�+~x�*gJ%�&e�CW���������7e�
�t�kJ����
qU���Hs��T�{�MO�k�7�D���E�<^����M��I�����y���N�������
���E�
�&��,O�U�������_Rr
��������J�����N�q�
0?���^M��}S�+�^��
��|H�(�-`�-=�*vz$�tw�\AQs�"�#�
����uJH�&����\�do��(�����CG��
�9����d�
zw���m�n&�����"P��^���<��c��?7$+���~����mo%U
>�[uL�~�]����>�rZ�QT7���X��9��
)R�Ml��n���^<��N}���5V��}v+��9y�������
Hh��� ��d
��P?���[+Hu�$S�����\�UHT�^CEqI� -
��q|e��~�g�{3rq�����)^b���T�h������I���������-�[Y�zVP%��5������W��e��/n8����������q�����Qoh T�E�nt kF-�/~M��$�0�sqN�*qR��20I�Z^4��
���Q�'
�pK�Lf[`B*$�2K?
�.�_��-�Y-�<������kI��u���4ZcJ��;O�4E��R���C��������W����<��
�j�c}�"#�i���l-���^����Q��y����M��K�q������>�N
I��1_��|D3�*�����y���cU���i�Pe�*�9<]��
���w(,� ���;�O���{18
�J���/r��D�<]��
�[jQ3�9U](���I$P9�g����a�����Tw�.PM�� wU��������o�D�q<�TS�o��$6N��ZW�Q����@@@�<��+�
�y#j������ait���
�no���)���Z�U=dN�\���{*��H� �v�iM�i��%
~_[�������+
A���[
FW �.�������S�Ov>��
e��r��]���Q�Yz�q^w�%}���[��"t�
�s������$���je��L����N����GXL���������Y��h�
u5_.(�p�A�����
f�)n�JByw%?������� Rg���>1%�;�FB���R�\�#m�v5/?�N��c�L#]����u��O������
x��w$s9K_G���"',����T*�I9'
w
xR�l�
u�RT?�Bhr��!�� ��5����8!i�T�����{���M��BY��6 �0�(����$���������Rb�_�)��+D�
�x�
#u���������
kq�3����q�a'�4��xH��
���.~�����e��g��| <�
����"�D��
N^W����H38�����:��R���������
#W���K/���2
���v��]��xI���Q��������yg��li��*W�5��Z��P��x�z�G2\����}��]1|
�D�f=��Ki��6�J���-m��O�x��'RA��l��"
u8t��)��x�h4�fU��@�!���������W[�vVV��NBls0��!�d��������(�?�FV�%\���#Xs��!���1�u��\S�
�����3��.��h�I����
J6���>�h�S��_���{2)�3�( ��F���P��2l>
��q����������]��F�K79��Z#pJ�v����]
?W
��>�������!�e���6N�\��.u��i[����"L���H�b~�L���D����Q'�t�q9�J�����YK�x}Q�5;V��n`���R"=�S�(
.|+�jn���sj��v!�Fl���S�<�
VMD;������fK
g��f���
������Q;�6� ��V��4nrGUV���d.��;�x'�!;�jR���W� )R���B��s�K��Wu��E&',�o9
� �g��V�AEQ�K�(��W�K�j�3n���4���"�����)Oy�>�?N������|8
�WIZ ��3�|����E��s�CM5�������(�@���2X�U�5�@��
/P��
W�_�{�
��5e�6����
��w5��Y�|���%*n��$w�49V�K�N�Y>��}�H�* �)q8�.k�&�[�n��#�c:]�g2����Ee���\�O!0��5=>-U��\�,Z��
�5�r��
��
�y���_^���~���$�x���h��������>���_����\���%�@�3|��������o~:��g��O~�����?�����������e�CJ����/�������� �����������t����?����������� ���G�W�����r�
��o���������2��w���/�� _�/���o���� �����_�����?��������G��?�g�8� �������;�?������� ? ������?��;���[?�G���������?������9��������O��,���O�~���~v������������~��O�}���������?���~��?����G?9��������O��:~�� �����}��?�k�����������[>� ��G������������?�}�����_�1������_��O���/�������������?��w����{���U�?���p>� ��?�������G���3��G��p���������� �?�W��{��������k�����q��?��?��7�i?�)z����/>���?�����}�A�_��~�����?���G�����?���~���}����x���� ��?���O���� ����������}y������w~�����O��W���Y����g-�~����F���?���K�Z���YP����s�)��
{����Y
�����_�X�������G�?>T�?���-A�������G���?��w9~����P�5<W���?�����wr�����������`|��_��������� ������0����������$X}�'���O�Mo�u'��2����X��4����?��G''�*�:
Ur=��sC�4��V�������bo%��W4h�3�Z�rqu��P���}V��
��u�
�a�3����-���<��FMy�"s���I��
<\�[�3?5U��� ;k�E���Ml�:��4Fj,���[Bo8� ���J��(������Y��5�*K���g]����!�+�yn��_�������eE��V��������*�";�T�p�����/���;��;�(�f�&-~�*������l1��QTq�.�=g�]�K��QyP��,5����a����8�aE���h��G�������
�����<�qN}�jk���<,���5$MO�]�E�m��}Fib�������H^���OvN_�QJ����):�wJ������������7�d�8��'��>��LS-�%����V����c_Vt`�(m�
�g(
����;��H#��
���������-���� ��B�.O��:j�A�c�W���<,)+��RF8�������VIO)�c�����$�^A�g���<+!{
��=��l9/��$��d'��;,A�������������������2
��>r���U�=���������6d���Ge#��^���j{C4�'5�K<�%cu���l�6�!�Z�K����zy��a��h��6��� ����
�MJ��9�p��
���/��Q����������m��m����8#I�f�]��s
8#[����
���#G�r�.!5����'�q��~�Y�lY[�Y:�ri�m��(��uQ��{
}g�Ez2�q��D��r�
9�G��j�Z��^��������-�W�JYj�l-�����*�n/o�9����V��$z�L?U;����R���P��AAFpW�qRf���K��K�z��:d
�
T��7��T{�>�;[!���< E��7'W��i�>������l�-����G���c��5��"����n�(���@���t>�
��Y���f�f���e���$��7mQ|����*$��n
rF�r����=lJ�8��~O�?�R�����
|�L
Y�mWA)'�#�����|��\�S�����9���i��r����"PL���{�l��w���k��:����I��E������Kz4�����|�������(�
vf$#^�.�(�o1I7����Q&
�#�-�x�2
�~�_��q�
�>�s��,����������B���W�$���G��00�����~�lw�sw�Sz�
�?��rMU�s74]M_w��!f�9���
��
@�:�K;�A]Q�x�7�$�I�
��a]!O��*')A����sj(
�2���
p5�E\����7�������k+�����5k�!_������^�R
Q����]�&��_~����
���EN� $W���J���->Ca�����x��3� �C�
�'����&
;�!r}�
����=��2Q"2���
'���(2���p����8u��bO�Z�
M*S��������+`zH�����������[6J����@_/�Zz7�f��X�?�d�"]����`VW����D�4�����Wi�A�jdw�~N��#�����\tR�[
j���M�Aj1�\T�
x�K��J��l1�+������>V{�d�-�/o��PU��fq�B�� ?K�Pjy�A�
�\�����B.<�R�#�);0����s����@�~:���&
(N��j�.����������./��
��7q�
u���V���e�im��4�qa����7�N~�����d����N�K���L���9����J������S<�ZP|�
,�r�#f#L����*�|�x���q��Aq3��4J$��Q�����=����ypa(�0������&�{�M�3��/����-�p
O����������%/Jgu�<A�mF�������������%zB�U!sq<@Wc�*��iu\rD���BM[����/�n����%?RM�T����bdx��yv4�W]��\���M���!/X��0�q�;yO�M�������C��H�R
wt:�U!�E^m;�U�N]�)�"�S}��q�GE�0�
��Fc��D��|�mg+PN��`i��V�t���~����w�i@
��%�� }�-���p��[���E�����z�;@!�W%~�������U��8�O��~�|,JXK��-�������Z)^T�
�JW�vZN`�_����u����m�8'Vt��;j����������K�.���������Rs?��q�MrRn�"m}����M������g
*@�
�w~{Ny+/���4A\hK5& �
n�:JB�{
����Y�F<]��L���Ds����J�!"q��3�F��&\����N��0&j��G�""�~Ba��m�^�?���u�n��
7���/���|�����qO���}�1�A��cLW!�[z:c���?,��a!�*�#
���r�-o��B����B�5�>c�)h]�Z�.�1��%p��w?���u���c�<��
wFu��J����[`�5l�
�d-7��d*�j|�iw����i�b�<*�uJ� �KV�t
��
p�>\��_���:�2 ��?%58���(C�e�zP��2{��k���(6�����S�
������w����n��v��hN�/���<�����ZN�\[����O�Q��>������aq���"��#���kJ��
��rC�� �\�
.��o%��}K2#"����l�)�����2��B��kc�wMyu������0:��
�����JL��%5aF!����
����~)Rv����
7^�9�ONR
QK,������3�# �J�gw��P����K
������8��a�)� �X1���!�
Nyg����%g�;��.����O9�Hh���� �cP0�xX�������$�'>�����������~����~;5y��,�u�1R����:��p�G��[�_�k���7y
dqf5�^���C�.�������J�R���Ve��E'�y�y�����=U�:��q
3!>�vJ�e�q��e���Z�d��,��N����:m7���z�
�o>����R����Q���C�5�)|���%W�H�n���9l���
q��2����>J>4����^v�z�-w�$!��v}BW�5����*����5<S��LPJ���%ZrAv+��ke���b�2���yt�R�L�T���jiXIR:vU�EL���}<��aI������<-ww�C?X��>�cH��@GX
�J�t�<9n��G=�z8?V��p���pI�6o�+��T���N�.����������
O�����{��������[,[��4�t>�)hA�?dQ(u`���:HJ��Js��i���
�c�MM�nys
(��=c �S2c O�9��r�-5�]����q��f�u� ����^���>���O=-��
G����Z>���nYht���<B���2?���2Ex�R��
<v���#@rX:�)���R�C���1��H�$t��*��� �����HR�%w��4)_�2Q��K�l�f
� Y��OZ��
pU�E����oJ+M���d{8FmT���K�>��SuG�����r^�+)v~9-�8��[����x]�z���d����JF��������d�N���R_T�\Ai+�����o�������Gy���vPp)(�����$�p�>O
����[�Y���(����"+
J =��|x��������w���"8���$�d�Rl�:HhR4����8�VS���rJ�G��@����E��I�j���)UY*�2a�#����qD�������|XZJ]�H'K�o���3
�N�>
%��b
�,R���%������U� �������ew���;��:�l�n�g_���.R��r�?�]_
^�m���U��~�mP��y�/�*�k�oz�����^p���plN������r�Z ��ErN��QD
���Qx,�l^��3^3��*W*w5����:�� ��V���y���@~�����4>�x��$����,q;��v\�yY�QM)����i����!3��k��j����� '�+ ��d
L.��a��Ppk�����K2!w��~r�)48�E�rW���cBa� �8��`|�����
;�vI;j�Kl��
�)]q5Rm�dt�{�5��K/
��a�$?�.��;1|;��d�eM��`�j�
�
�����<`v��%@R��s�B���x��t���������t�>^Y����������0XWi��
����t}c����� �S�I�S��{4�[pqqFg>��JG����{��(.5��:��:? BN�c���G8��[}����[U������1ZP�)�as��6�3pj��u�
5QY
����<R���c�J��>e�.��^_*"��+� (��z��f�]wt��
���~�R�����(��Ya��U:�Z���`���4��B7�u�UR��������d�H�;=�u�h n��G�]�)���./S�)��b�d���G�X-��Q����$-������RU��Q��[��v4��{���]��u��n�U:������
k>��E/�4N��1>����� �W�l�^r_|Q�? fj'��]�X�d.�/8��������Z@{$��y%d���������|2��'8�!�)<?��OQ!�i�T&DI�q��^�Z�r?��U��,�����ug��Z9�m�[Ru� ��9��[� �9���I�I��������%d�8�O����J��)1���]���h!�G�e��;Gg �uLGJ�"���]1q����~ ���
��~��|�#�������jM��(
��8}��=\�-��+�p��/��}96D�
�T���l����F����� mf�z>��v�
���M,V)��:��]���Y�H~���dB��=����s�K?�J�8�"#��TQz
#���`|F�����Td�j�����G��
�������"x�Q��[5/j��p�Q��J�����'�
o[w���Sl �g�iI��:�`
�*�M��8x7�O�F����|n��� M[��'
��]�/������W�|���zz�$�G���l�E ��+�[��
�@�
�fT(�eg\_�Xe���%�sd����/��Z��3[����D�T��V�����|]
��\�z����b�L���#��|X�kO��,C�����[g�z�%r�M��D*���tC����E�E
���2��:�����B0o
H��v{�f)1'����;tj8�l���(�H�W�^��mg?������C�I!��l\.-�67h�[v����X��q�#�����-k1�����S!����o��[��������!�jJ�[������
�Ya;��x��C�|i�9�������q���F�-9>�������
�u��Ib�E��.���^U���;3��I"�n����{��hh����X��mQ@��sux����4��yC
���
�s��]��U�b����{��[�+
d�0�\�#9����w6e!j$�����j����C��
����Ti����S��
8
��I��a�� S���2�
� 0xd���m ,��0�t�Y�'���:N�@l����l����Q��HM������w�#�B)p�
��
��5�U��*�)���
P�x�oN�Au�p����������bhR�l��fdBPY_�e���f����� �������mhO
$�-���7��z��%�g�
;������;N/g�5�%�a�U=���\i�W]�6
5h /�+�<�j�s����)#S�| _QR�qj6�*A������P���)I�z����U���������~.�t��>��*gmT��| MG���v8z�'�s�w�9�'�4�������������b3y/e����x�C�fBm!h�5\����ZQ�vg���H��Z���U��A%�=T�������=�q��n����1�L��{�H�<Q������7���H����W�q�g�\����=�on�n��8�E�����?�M6�C�W� �T/�'�P���N�_�V]Y2��������
;�����
�:����t G�k\�\�4.�����Z����&��G�]T9�U�y��B_���?�d�!H��5]m�|�����
��}�����EY+.����
7���5P �)�Y�0��=������M��b�o��~�
9=��
B].�� ��h��D��?����|�e�eHu���9W�N��+������:���[=<��f�~�
�I��U�� ��ed;E @:�/�L���B����-+��7���`$�X����<xt������K��B8��
��U����e�(�d����)
����7a#������<�
9:=��oYjG��m�J���(N�c��W �P�1��K��4:jWrFl�F�
U���+cM�[�[�'�������MF���0^�l���
����h�k[u�Yx�
34��l�_��lU�MW�,�tC9mM���&����$�q8��^��>��;H/+�����%
��l��
0T����
~�upw]�EZj,L����'>Bi�R+� _-G����HE���-�m��Y�)���!�*
�S'Y.�n�j���*�;'�E���3D}����
��{�%���� �%8gJ���S-M@����~���S��#�
H����@��i8�F
U����y+8��F��uT�t�vw^��eS�_j�s����2(D���3��q=�IK�_�����*:j
ja�����`N�
'T"��U�K�I7�q8���Z�S�KD�7� �g���p���2��\���������P�J�P���� 'w��_��sv��\�^�c��V�f�>;_$mt�:u�Sl0ZR�]�<��|F������\����1�
KE���o<3g�����c�B�vAY��Q�U�B!
g����%�u)���4��#P9���A�����G,��Q~t��jE�����$�\��Z��B�
�Q���_�����e��U����n�S~1�xA~F8
�o����~��SU��W��H"�s�8�Y}olAI �[D����C����
].OQ����?�[&g�A+���
��V������iTWL��B����[#ng;�m��/�
O�qu����Qv�N�C��@��U\��v����� ��|���$Z���&���
��XK��,
����AF��J�.�+�
�:�_F��rA���Uf�7`����"����Ko
B�=�'����:��&Qe+ mw�}*���h���5Y���n
���3_Us
G��-�\b�TSn�����g��K*��iL���_������
�n�F
2�����[�" �4�J#�&�Q�������'y�!�������S��[]�6t0z��_N��xsb�j���R�:��/���b��c1A�����x�m��>e�=(�ns�cJ����Zf
�(\*G�++_t����x5�jx�*��^�����
�R������A��\�r��F}�OT`��a���B��/5\ �V�%
�
/��,5'js��,94~��p�b�m�����ZG�=����_��[���_� t�;�\�W1q����'P�c������_�~ MrY���h
�&
��d@e�@g�-p��6Qb)v76�����'/
� Z�>�
���.�����T
:$��~�0���r��T8A�O�A��s\V9w�
��5M=u�x��^���]��U�����T��s�2��e+��rt��SS��bE�
U!)�T��5
=�J1*z����U����OE-��%�q����\9h
�T�o��{��������� �#
E�49P��-$�h�� "}VE�H��$�����r�Od$
j�M��-��;[����� �!`�oMe�6
gF?����V�
��2pq7xj�o����2�8#bRqg���4�@�d��u����Kz�
'���:�
=��P%X��r�-g]
��g�M[9Y%$+0��V��*��u��H(��8�4������"Uw i��gO�#���HU)0]�#���Dd�H�����@
�#C&����]7�G��%����l ���������$��W���09Q��JrRz�y{>t�S�^���j&h3��
�h��v�+�En:a�R���+_��� �/��z�%<������4BT��.�����`��� �����d����*��T�-_j�$��)�s/}�9����k���y�%,
��J� y����szp|w=��aA��Q�/�$2��h2p�Z$ =Z/5r&���=z45��4�O���C��"x:K ��eUc�����x��w�K3����C��ev mW�h �j#����%���Ei���:ynr�X5�-
J���X��&�jW���}I��"V���Kv���
lhB����L���=�f~����6�_jR��}�J���1�����n,g�X���Emd��=M4��]����{O������[�����A��_���n8���;�����?�������������J�&(��7
����f����������QK���q���E�N(��\��>]U�pjh�����B��!��z�u�����M� WQ�$00V*%4��S4;��H�X���{%.'��������B��GHwZ�����E�*>�82*�I'[�7�["�.Y���:/���+97$�
vC���v�M��������P��hIf+� U�@~2�{i�3T*�`�:�VsI
��
����WGb��Y�H�
�L�5�")t�
��V���G��|��Z}L�����m.<��'n)=�$+2�=�KV}��#���~�������-���J��(��Y�j�i��a�����
��L�Mj�J���]V�_��<�d�D�.p���
E��
N�
���B��L*�gNH���zN�i��(,S2Qy��TQ�dH����Q�����4U���/�]��4�H����x<Sc}v�N�eQ�
OW�������FDs������3�����s����x}%u�3�
������:w�c����Ds
��p���Q���dt�9���E8�.pc��
�=k`Lfr������t��I>}����`�����W��)��}���A:�8�5���v��(^���I���������Z��
Q:��=�p
�V��|9,�B��&s`���R�fn�/�:;������e�RC�<��N��I�����!���2�M��Vt�:N�
��_����e�"��t(
J�E)Y����0��^�����|�rl4���jr�H������*��n�Q7tA��
�
�
��w*��y�n~I�*\��(vzwU��_���M�
���AkhJl���q�s4
*��_��Z�/mv��]�KK9�� 2�_S6�������H%q�K�2 ����n��F�_<,��gr���2�
[��U4�I�=�����4�A
���'E�Z�����uZ���Jg(7�����n
�/�����%�oH�P�*K�!:�� �{
��/�h�j��\qS-VJ�G���1.��N��R�+ �:u��+�W �����\y9��v���^�$0�����y�f��O/�Z�
H^nR��C����V��]ur���v�\T`���;���Y)��9��3wVT�xi�#�sq �>g��I�Q�f�[�D��t������U�C
����PN�U��9�
��
��C�*o7c�
����59�;4�$_������nM��T
����L��7e'�����4�
�D��C�O����^v-A�G���4��I@��D��/�%
��'~�����UMHs�U���+Sy���?8 ����p@`����_]�)�(�������b�;��Z�'���X/[.6l�e�lu��o
j(�q�u�Rt x\��
�Ic6
����`���_|]zR�����]��v%((���I�=^����q��/!2��W�+k ���">�{. ��)�B������4�<� CS�$M-��_�%m��������[.��6�K=�p%���6�����7����0�fO�KC���!PT�ci�^�[�sH��F]
$<@U��td�(��q
j������RW��B�
xpf�*���
��~��@`_�r����`��G>?�
f j%��m���[
�=,
6�W�tQ������m�x�����p�|�����U�_�tn����%e]i��]���F�����\��gX
���#����e�������5@�z1��?�K�%+�,w�8�=h������F��>����a�\�����)�%~��p UEu-���������q��H�$�s3@�*I��^��-�2�r����]W��8"5/�3%�����[�W�l���
��T���GC�&+wJ���gW�t
+7BV������lp��i�x��H�{��uPj:%o}����Q :e�}>R��[�`��p��n�
zF�']_V�5�;�=��O�Sn���s��P-U> �i���C����r1�n���s%4�p3uN������1B�4Q��1[��a��l
�Mp~�9 H�iW����Q &�&�4������Td��K6���6J��fdWW��
�#m>�"u��2����8MXl���������#(��d��
�7�YfkGn~sKe�
v��
�o���voz>�{�E
:��v�
��q��r�D�W��u�q/�<� ��E����]�:=d�L�OM��R�/3�4 �q��&P
��M��J�$s���U����B��/�
�UT���'Wz�lT0^:��a���nK����_q�
�us
H��u
�����V��k&��v�e�m���������-��lO������������''A-0�u:�
}
�y<q]�T��"*z����L�n�L��G{�:U�-T|�����jP��T�
?0��z�(������Y�k`���`�x�o[�Hu�� �-��'�m�����n��������~�%�_<,�!.��L�DP~�>k���:�)���������l��>�����nz�+0r5����>A$h3�g�K �7�]���
j��/ ������~��0�����;M�W��K��cP%}=M���l�u��������"��
"��$��{���(���P�S8s
^G��c� �d�B�.���F�E�p���^$b�1�)J *�}�ey��&����K�z�<x�!��
��K��=���������=��{|�:Pe��,�}�^��:;�'=�z')p���%|=������r|
�3
�x+k�%)�/�,�+���M��8{$#
���A9G���b=Q��ad{
$�t�<Bw�
��&�IF��x.<�4��Z:s
5X���pH�A8�
�J$�XHi�����J4WG���u��\_J���������n�n�
�]�l�-��##Pro���2s#JO�5�m0+��3�x��7�6�R�Kw���MwOC�G���'b��x f�lWU�]���
Pj��3
8�!��]/��]z.�q����9���kU��1����'�8�/����
���h�v��
��9|�RIP���;Ihs+x%
�$
���,dX�p2g1�R�r�� ���0���P)�O�|�����A;N<���UJ��Kh �~�\D"��X�aC<�5����6]��P���k��L5|��!����PEaj^fk �j~a�4B<%���.�#X�B���K����L�M
���L��]�'�?Y[VJ��2��D?
������
�E�K����l)�S�.O��t.�
��$t�t!=��`�����-B�����q��]�P�M{y�� �>�R�pr'�M�,�ew�@pWr
Z������ I���VNE;e+n���*��
�[uy<��{8���[p�0�H�T
����w:Yug����H���
��:�v`��9Oa�gL,
������x�6��;���� SS��%��I��H���
4F�6C�JR��r��\�-}Te���q���g,$�Z�<�����t��iy��9o�?f�R^�L�O/S��kB�
x}���0��KXt��Z�up`Wsp��B�
���f������*w�
�s�M�y��)
����Z ����r����P�<���QN��F���
��#�;a
&���F�^_�T�&�.���B��X����,z�/-�������|���I�
�������v��9k��~��/�2h��1
�S�/r�Em?(D����C��cK��6OpC���R����M+jZi ��i�6@��� ����^]����
E����u�}v1(�������D���" ���f�������:�T.�{�������/Z��%�'
���)��S�����(���&�_�N
��.����l`s
��x���������u}J��t9�*\y��%�Q���b����v�"2
�a.Ye� h�~]�w�b�|P��_��:-p'Uz��:Z���g�V1�]Z�� ��-W
�KPV��L�T����=e�k������l����VK^@�W��W��zx��L���SC�����/�'������q��d)�K�&�u>G�:����K�n��Wa1��W��f�t�NXcx���W������K&��t��*Jz`����J��[�5���7����F
,��R �
�q5�
o�Q��\����}H�V�]�l� #'e�y���/~����R��6�9��e��)����X�Z�9��������-
4o�o�-����/u8�� �r���O^��[�(�!�����[���T����n
*d�u�����K���u�HH���g�R'������~+�L�YJ��S����v��rE�R)��������BT�\������E �U�����w,U
L���
�t����N��fq���
�WQ3���m�G��
�7����!85m��������^|��%�Gu���U����=�����d��v2TIG
����\:���
7 ��9a�n���<vQ>mw�{�|����h3���
�5k��r��$�tz�R
+����l�6�/��(~���U�_�n:|������9,%5��x�����@8���!�iR �^@EG������?���)�
�������.�*��j�%M��'M�z
��u���~c����7��������WU'�nV���F�P���y7�S_%���S���pJGs\�� O59O|A�.1@���~�����ql�
E�WJ;|������Yr��
��o'��M��?C�!U���(�}L��sI������@���jc�C���k����h��9��B�,@GG�C������|G
���]
�8^������]'A7��� !zf�k��>�B���Q#�k w:��B
���������"�S_}������
e��o���#z�Yv
Z��l�/j'��p�_��Y���h!y[&��Y�I�B���������LB��C}��/�\��E�������r�y�/G�[U�v|�m�yQP���%�2����Qv�
�������������#�\���P{
p'_���(����w�������s�� p�
�Z���jwvXJ�&
��y��7�%�r#�j��K������R�e�;}]�a�������*^�#5��*�=�|
��+�]Z��W��Y���G
m(v8�� ��F��&o�2�F�g�����-��
Y�z� P#�z�C����Q����WO�U���;�����x,*xSH
)����?K��!�������. �����h��
v����%e��5U�,!F%�yx��R�Z�J
�����SA�j ����
�cJ>
��� A'��k����r#��j}���^J
����Z��$��k ��z)*��mA������0�Y��^Q"D��� �n�'OQ�]��
,^]6�_������l3W��JaTs�Br�U�CF�q����o��8��+��8C|�f�&S}'+����=F
&i� e�R*�X~4��K %h�� ��������V�q*�O�!LJf�`�o��B�'Q�m���(���9�� ��7@� �������`P�����Ur�DacW:���K~w�y��j���ZpU�
$����zo�
�sP��s��~+5�`8��;j�������KsWfX-P��A�M!�DV�5H�"���^����w�D��~�;s����^����z'=N��S+�/�OZI��TRe(�Ip�p���k���~e20��m��_�k��K�$�\���{j�����������qJ^���*����$w�%f�����xH���;@����-������d�O�:�����I�W����8>�'��b]�����
�*}D�P-C������u� �2�$�#��4k�T��f�p>��P[U%��pT�
���������
�~�E���1)�S
9����o\I��c{i\�""� %{
��~���$t����y�����@w�/�UouWW�����M
�6�
�Yrj�6
���uI����j������pm
��p[2 a
9� ��������1�#���^�q�`��-`zf����5toP�i���ykj���.H�m*w'�t��L�Y�E~�
mx��
f.����!����i�a�m�I�����L�H����*4[@��Z�����������sWax��=�Q
�c
�i�SX�n�~�����`8A]n#4fnq�� �0���6��_�GD<�o�����%��� #23:
����<��`�
�t�ryzRkI r����Cb���J7��� ��$�T�m'�1ZyGs�1l4�j�x��<�?tl�3��w)���]X�����9� ����w�*�=��Q��H����+��@�Cn�6�
R#�6)���&����f
���+���P�m��ku`�z-/`r�!���d�2-9���
�4�|��vc���Thf���Z;Q��0���V�2�w��������qy<R��)��:���q��$F��P����J���4{���WH@��:#��������B�������<�o���x�������c
����4��
��
��`&��x`0M����L�K5&�
��&��[
�&-nE��X����=��� ��
��@�W��9x�1�r�[ �
���+ B|f���E S�$����1f��8e
K�M�W�~�t^�ns�h&Jo�f����h4�0�v4/|��r�����Rnc\�b� F-�.*u�� �
M�!���M��!�?4����{�A���|9 d�UL�y�0��|dtof�,�&���|��h��FW��+��7c����yW���
Q|��|�C��n�Y[\�
>:02���
�N5��A����
#�Jd���z�m��:�0G6�0��^uB�<��'��_}M7O���mK. ���� �&�o�3������a2�H���$fx*X�����Hkx��8�MH�.=L�_�H���&��%�a�M��(#A��X�1 ��g�I�D_�z��+>�p�g��}H�
���DHn�t�d4/d7[<��q��� ���Gx�f��8`&r���A�;L�`}��#zu��I����4W����|Wb&AA0k� u��
�;uH�6�]&�e� �
o�*����0������8��2�B��/Lk��k�1���,�0�:x�+�����>
��U��0SL����2�0K����>�+
�23�^/ B���iDG%�I%��5�B�c
�
�l��
f��c��z,�`:����������0c�����#�'&g����@CLq���
�
�
�I��W3[=$r��|��i�&��
�N,0�2�
�Ah�&>w������5�~��ia������AW�3��}$��a�]��x]��`|������e �|
x0�c����
3���������@�o�X1��$~r������!��k0AX���="��5�
;�(
A�Kk�~�����z��l4 ���������X�P��v��Xm�J��������f���7w���n���N���C����������I���������M T�5��|���,t���0p�\�c��=�9Y���wy���=��#~��t0�P��d�
_����!$y�w�
�9O�a`��D\�4��:������P
#]
$.a��O��Q����7iOD@$����-f�a�j:a^�<��d�0�����
^5zm^������ux�iU�����������5�9�k����������n@�m&��9��9<��vw5��� C��+Z���R&3���Sd��.O���l������y�y�=F�f��d +�{��|�� ;����9.7�=�����'��6h�a�����;��3F� Fy$�$F�I�
���x���;���I��:c��5���kIx���(\/���&��@��
��5%{�``���'���c�kH|
��
���
8M,~&}���{�
�
��Lq����7l��� ���� <dPN�7[�KU3�k�V�a��a��v �Y�
XF��A���3��{����1�7�������c��u�_&��tlyM^���#�`X�6c/�-�&�0����v�9������n0�����o��U-3Q�A�@�@�7�
�0<�"��C>�X�r�6��k����8�}��h��
�
�S$60�
���\�d��9�Mf���� ��`v�[�:�uy#��d�U�K��6 P�(`"�@icH�5sl
i�w�b
x��M���r���.v����3L) �I�l��:�2�
�\�2�aD/�@5��d0^4'�s�k�m����9dlI�v%����$
����G����u^V�.&c�?�@uz�B.3�
�`��_{u����j�C��M�Z�����Z���3P2��j�mZ���P|B*r[�YvzA�ia���
� b���q�X�!&�HzP�
p
�B��`�0MG��D1�\���f��%���3�P�]c
��IY�@Ja���������T:�s��9
����c��=C�oj3�
2b`�.����a�$�����
��v�)�
�I��B��Zc�G� ����@-1��
�L�xL�}�n�i��~��;��
��
�lv�<�y����a R��H#��n�a
A���b��2NC��=��
���R
F��U1���1q$
�y��
3���5��FVl��
��&�7�c�!���w�
�m0S5���D�L
����"����5�
^��U�4�d��9�������k.������������cg�P���[��
(����c`X���p���v��`.��g�t��"�P�
QG��%,�!rM{�O�J�
Ef������S-���� �a7�]���x.��-^���-@Z���6._�$��f�W�a�wiz
Vg-n
B4>�0.�A��������Xb�� �N��1d��
u9��c�)7�.�fk��;��
�$|a$%X���NeNk
2?p\���FA
�&srhg�M����f b�!�����b��'
�����\A��b�d�R7���A6��$G
�k���L��5j5fbp���s���WQg��6�M8�^ <
b~2,k�=���
��4�t�haP=H�{��~
<
��a� �G�QL�+��n�~�
<������#�
�i����?��
`b��Xe�;��3m(�Z�G����*�C��f�&zC7 Ax'��9@`1�|o�
v]f$�r��u\S����!�;���X
&��A�O���O
�$�f�
,'�moj�<��z0l���1�:7mZLDC������c����*o�Fg�v�cc��8LL�3����w�
���
p(o�X��C]^�>O&"/@&���%�e��^���
,_�tUu�����=�ud*,��v�v���0���d(�Z��c$*�ujK��V�������G
�z-������&
��� �
����+K`2T
c9b\��0�1���t}���(�
���m�#X�����>�nC�Kj2B ���������G/���
��������C�
��!N���d����jcMr��Q�
�`I��Z�j��X(lf�4�
pO����R���c�j� ����th,�o�
�O��b]I��Tu������I��&�"�2'8���1�e�!�w�I~��������^�-v��y�$�>o�t`W0�h�-�j�����0x��R�!ZZ�]�l��@��:@�t��Cu:��>����m �
�����zb��P�mFMm@Hz�!<:t����K�!&��q��
�( X�<a��8c�t��=�I�U
�#�L����a�V���y�� �x]��Kw�5 ���� ��<�m&E���gj���V]��p��N�0�&
s�n�x��=&�uf����=
�xF p��
�fc�B��\i�e.��C
A�j&��P��GG):c4�,��uCS<��B:����B_i
�S�15S��M)8{@�
^�����9�:�|����>�������>�)���m��f��������j��O������Q����S�hJY6�N.AE_��9
�t�� V�4Ps7�u����
2O��4V����_�ly>R+��Ogt���b�*�]M�3 �@
��d��-�x�Z����i/��g��y4�;������; �~�
���p1�T.�q��Qe�~R���y�m��o<�/*~8 ������N����������I��6r�����Z��}�{s
�NO��
�n��4�(�����oV����39�ST��>���p;T{��s��������
����P�TM�.��JGZEz2����f�H�zQVq8�5
`���
/��Y�0�0}$N���������X�}���E873�/��
.����;�g��7C�H�W�/\�I�[.�l�Ax9�����la�C�8V��y'���S(?�a����f�x$t�n��2A���06�Q�N��cw�b�0
��l��SN��
U�2�*^D��xh~\��]��Or�������1��CVF�v��_��B���l��q<����j����w�?�r������Jsbu�H������=�u�=�{�~���+P:=}���t��y�����
����r��������0*
�V����
$���V3�j��J�d�G��*��W�|h�����TEor�
|K������������?b�\����_V;iv��s���t`������������?�jd�{(�#',����<_�b�����|���!����9C��|�����d�#eLS������VG'e��p�-�6�{|m��oW�G[�jZ�����MD����hR��_����s��� >���*Z��������x:� Q�)�yQV�p!13+U8��[U3��P2D�3��������'M�@X���P6����e<�I���1����O�
?=�Z]i
p�v���qa�����&��|�����6j��v��4����-&���-4�
M)~
���[H�9�R��P"Y�P�E���>U(h�,:������ ���-��[�����������d����}L�n8���
8���� �w�g�;�4'X
i]�#�R���}�w#��_�J\�3/�7���s����s��3/��1���7���R���5�Ff������b��Om]����v|���.sO"�S�r���l�����4�vM����������o ~���zW�������K;��|E���i@���5��d���P�N&*G��
�\�6���T�����0��2�?��H�j�������������=0�7��;w�g�_��2����ev�n������U�����}�i�������*�l�&� ���2����
a8�cd�����j]��������U� ��K��]��
������p�$�Y/�g��f��c.�&���b����
>
P�1�}�D�{@`�yp�^�x��q�J�3����7>���R�S���;�.}��Kw��]��m]�*���U��x�*�o�������
�)��_�)[r�������`�������T��
�����?l}�
ts����;`�o���\�����3A���N��\W�n�� >}yv��3�������ll��������?N�.PZ�>��*vv@���������xT����;����:������apK=��[u���z�����:X���*f�
�(��� ){@���iH�
�F���@N�s���u���-m�H��YJn.�) �������&��e���M�?�ycu4�����B������v�^�C&�g��<����\=�<w�
�K=���o�f�����e(�s*�d����]���g>9BG��i(���)���T,�//�
L�
��
����=�P@�a����b ����k��C���� ��A
�����|� ����������o�%��������
[UD�T�i���i����s�d�J!&,�J
S�F����&���g���>�'9=���%�M0b8rh�t�/#����h�����1K)1}>�R�PaI�����������CX��)S(�w
���SR��*��*���{�W%
T������@�T��:;~�
�z���'���J�����3m��k� =������g��������
{�/
C+`����c���[e!�
�2��I
$����'o��?���
������'�]���Ps�I���r�'���V�v\�/��
���G��c��7!WF�+CHG\�rb�<[��:�Na����?���`���caZ��Qy�����%`���������L[w��
�{�'���'|78}u���l��sP������� ��g)?�#]��P��<pi
+<
�����!b�F��U��cN���R������(�0��l����8
'� ���>W�`�'������&j���D(�b ���� �
��j|��O�8��������u:��4�Y��?�*��.&s+^�H����?���(�� h�N��J�-�.�>+ �$��U����)�k
��Z��n
�n��=Yc%sNH�';�d���YD��E�����+�����>���Y�'����(�I^/�a�
M�������f����|���
UWNC1`V�a���d~���s��Q��!��d��~��B�cV��
2������y�=����C2B���7-2+���D��v�����]U�~�
��x
''��pA�N�f3���U��3`x���t��2�n�
�g�������^U��\Cr��#6�
O #���[�2D��c�G�YyZ�����A@|M���v
!�(T���lAx$}9�-$�4!��<�P�~���X�Gs�{fh�J
�
ux���-���-�Z
���������#�2}��`��7_2�fg�Hh<;��.c� �Q6�2C�>�8.c�FL��:�a4�
8�t��������F�8���rx���cH�v����
��(k� ����Hh��
}���I/�������$��e�I�V~����V�3�!?�B�h�d'�,e��i��@�G���
�ZK��v���tJ6
o��f�����L��0����d���j(�Nfx��}��0�bn����A�<T� ���;�{}z|�-�-�w,���yz�#���������
_S��c����|�����dRl��%C^
�
���8~��L�'%���8�NQ��w��R����
����.'����2 �nd�Y�����������^^�~q�/ g����vT��6 ��$�������Q�{#���Bm�c
j������������#�[������a�B�@5{0`>f�%k�>�4�������_U�����~������c����� �������aF����-�i����=��LZ���R�'Jg�kR�~k� ���L������c��������WP��+��7�7��H�R�>�?Je�}��_G�����Xq{�u�*�.RGUfT�y���W��fsy����| ;�t���* .��^I�&���;)Y���^m��s��K�x
�`82
�������uJpekV��������W�(�%3t��@�S|]�
���_����)�(2�$�`�|#b��z��
=\�,�����K]��|�[��V����c�Er�p�����M!�����8�T-9��45�f��C�����RJIv*���H8
�1<f��������ydw\�k�x��w�F��8�YH�w�FJ?��Kj��Oj����������r���s���p���A�Q�W��5��DU��� d%�^J��M��
7�n��-�H�Y7�-�]�*��*�_N^����X9���}zv�����
+��������g�7e��+>{}r�$6� ���R��C�7*���
��Sw�7z�{(�n������z��q�k!������lZ
�O�������
���|?��\C�-����=����
}�v��������7u
f�_���g����)*��=&
w;� c{�b�j����(��4���O�OK�e�R������g��J������>\O��W�5�:��C,>��u*��x�m�r����B���T, ��2���<=��E�*g'@�L�A�5�p �����=���e���c�l���6��O�M��
i���Y�
�������Q��� ���b�G��F��,�i�M1��
���N�E��s�1=���\f�Pg���&�ng}��&.3
w������9y -7{���x�T�"�a�
��,+�D��e��&����3wR-����]�`n2���
9
��������gZB�8������oKc��`���2�w�D/%1��\�
;�
�8��
Aw#�:(���
$�8��]�.�O_�H�������������O�#��Tf[?���$B� ��_��C������W7��
0�������
8��V�b��������*����k���Jx�.�b> X5�pD
G� �`Y�����"���:pf�7��+�-&rf�T������� b��0����O1�K����+���<0Fgq�7��
v�����c��\�$A{1�?��H����%���2�_|u��>��7�-���������Q����g�O�0O��s�������.�?��/v���F��y�+����U�G�8P/_?^����)�
�1�
���0n��V�}�
f9��8�,������4S�'*��.��h�Yx��h!�7�
���x�{l����{ �
���]����-O3��}������g�56�v[
�6��������
?�OGO�9>@� VM���f� ->a������>
+��v�����/�/��oJ�T#
�_�_Z6������eS>#?o��50@7��HK�����i��������t�Xr�-iE����
��n,}��6�k������8
`~� �6��
����}���`~.g�p�)�uR�L�����W/���)e|�ye�?�������7�
*����rx��%�����)��s%#4K���lL����o������)g��m��������\�i+�o�����s+3;4jg�q��J�
�[[f���?�~4#M
+���������
��~b��1�F���~��?����g��`��26����~8P��������;~���*�U�oDaVY��0R�r���n����z�H�M�0��j�o�|�T^��o�=Oj���o��'46�7Y$DV��j�ek�.f��/��+]�����z��������9�>���0��}I��d�,F�+�
�2��
*`~Z��e�=��=�
b�Y��b�?
�I����;��0g��@�p-�jG�
i��O�K�%����zg�a��w4,����p@Vc��{��c�Km���!H�a�`M^�����u3D�~��S{��.���������Sj������-�
�X=u��x�~���w�����9���2x���)8�����
)��y0h��.�D�Z���� I�������
d��U�J���0�S�_��TLW�f�.�S��ka�O3����0T���%�F7�I���o2K��^��M��q~��d>R+dmM��ZQX��O��P4�42�^�M^Na�w$�2��|=��u�l�w�:e�A}�L��9�E=��~f
�w�DW���O��7g�'A7�v�q�����#�Mv����<�Y4TX-c?�=�����,����}}�|c(
����/��1��vvv����@n�d�`?n5V�l
})�r�0?Y(BZh��^��<
�o:��N�Y�S�Iu��mZD�V6����=R��
3�\O�4��H��#���?q����dn��qZ%���Y��bt���~�j�h����)��-�����Z�i���������*��/lR�� ����u�72+l�2��}��V&s�\ov�����B�>�������>���>���Co������r{Z:������,Y��8�IY;o+�dm�m���P�T��I��[D'3�x��],�U�W
���j1����1�.a���1�:N��6��"D��]?j���E�+,vI������?}s}m�8��n��>������lV_�O[��E���9Z��Z��5��/VK��C~��o���Lo��rg��
��MR������ ���;
����X�W��j��6�W��l{�SM�0���9����lN��\DK��>?��5P���1��k���L:P��edN�C�Y�-v��V1����E�t�
|������x.���F
e��G
�u�W/?X�L:\�N��U��r������!i��j�|%����^���UQ��bU7��j-
�����HM���"�mO�1w��U�5��jn,'pf��
��-�\!����������e*:��W�/� ������8�O��M������W��m?���8,�������'�@^���j�m��\����m]F�Z��o��L�[��<��3�w��T���_" ��I-��+T�7|��i�nf!���<}�
m��m'���c5��h�<����
������q��5w������u��J�
����V��|�hxf�n�
Y�T���1^�f��,�pW�����3^.V?�^��87�/��"^�J�D� �A���X��b�
������
���'�
\�,���C�T���~�'Q@_y�����2@��M!� ��1�D��*b�[[F��MJ����v�AsV�^
jzD����j�~R�R�"f�h�,6m�1�V����S����U7��c7:�Q~��Tb�Tw��]��?�w����k`bf���-����.������}W�����m����.���'���0%�|���3��
���i9��*��4l��P����&\�l
���V�!�N��e��j7�[����
�E���@��(
���\:���qu_�����(��O�
!�o��&
u���k{{u������@�T*7#{����w���e��
������x��IR���4q#`�K��2���&�����r2�
��/�}��a��Y���<�-���:�
������I���P�����$'��I����S��?���
��{<���* @�f,|q5��.�,3��et����q��M��J��(���(������'�xMV������'~���c�8�g�as#�5YDZ[R��Q� ����T�%�4���rr%x��?c
�c���.
�����FUx){��x)�
}���_�O�o����XT�s�� �Fo.#�m�=��o*/�=�����X���x��W�O�&���oi��e���Gn���R�_����������N0��On Sat, Jan 9, 2021 at 01:17:36PM -0500, Bruce Momjian wrote:
On Fri, Jan 1, 2021 at 01:07:50AM -0500, Bruce Momjian wrote:
On Thu, Dec 31, 2020 at 11:50:47PM -0500, Bruce Momjian wrote:
I have completed the key management patch with tests created by Stephen
Frost. Original patch by Masahiko Sawada. It requires the hex
reorganization patch first. The key patch is now 2.1MB because of the
tests, so attaching it here seems unwise:https://github.com/postgres/postgres/compare/master...bmomjian:hex.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.diffI will add it to the commitfest. I think we need to figure out how much
of the tests we want to add.I am getting regression test errors using OpenSSL 1.1.1d 10 Sep 2019
with zero-length input data (no -p), while Stephen is able for those
tests to pass. This needs more research, plus I think higher-level
tests.I know we are still working on the hex patch (dest-len) and the crypto
tests, but I wanted to post this so people can see where we are, and we
can get some current cfbot testing.
Here is an updated version that covers all the possible
testing/configuration options.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
hex..key.diff.gzapplication/gzipDownload
�ES�_�hex..key.diff��<ks�F���+f]��T�[|��*^���'>�����JC xHf�~�u�<
H��d�����$����w�4�U�����
��+o5���U����|����p=��<X��1 �wI�nx��36<���h0�}h���f���������
�~�_{e~}��+�3v�
�`����!��l0{8���`pvS�~�~���������� ���z�;�g�/��o���vaqv��v�X���<��7���'�:���3s��_6
���e
0�
o����c?��E���y� .�-f�xY\����h]������8/�(��B� k��&y��x���2���rH�����!\�E�jY��S��
���[/*x�����r�l���
���(B'X�n2/�.bl4p�P1�� .w�Z�g�+�����I�mZ������<�]
��yw
E���D�hs6���<��E�������M�o0eX_n�$E@����-G��j-q[d���I0T�[��s�jS
�MF�d�^��|f�)
j��s��^���
���`'Xx'i;���I%��A�lNp���60��J�����*��ytd�f���Q�J��x7�~��.�Z�P���4?l��1�US��b_����v^Nl
b��G��!0��*����O��'��Gg��������I��������=:7��"a?z��.�v��O�kX_�'�q�.v��M�+�0���0����w"\Crz�$.�$�h�1 /��n�Ib�z��Uy �q��5�`"��0��_Ct-�L��P�� �p'Y�/5����:3��y+X%������?<���8 VD��CV8Y��@t�x�"�s���Qm��?����]#B�:�d���[��� E����
�0`�a}s
�la�ks
,�`��fm������.:������l0c��/�bR��$� �[�W4���i����&)�!�8@X.X]�%<��[r
���X��!���D��C"cF��UNi������d6f����an����k5��ulS`2���M���5�Q
Lxq��P�`m�X��
���q�Z���
iu�n\YN�}������o��9��h%�q��&��������|�j�v
�e��`�[;���TllL�������>#�Y��r��H8�C�H�#!���������k
?���!��?
o����K�J�0
X+����
�@p0m���p�$�Z�
RR�����'�-$ &����ww���0
z�����}��!�V��^��A�����1�G�����\��G\\�^���z��]p0�����V��� ����� x���7z����|6�.�3`�`:
c����3������u�����1�>\
\�
Z����������##�|����9z����z�wm���]����S����+���Y����>dEBW ����,)��.��CX`�-�l�c�m,eP�@�a�^T�[F!|��������
�<X�y>�j�<�)��,�m����Yh�b�Y'�
&y�z�<��.L���{�W��D���V�
�
�e����)��ay�V� ���Y���2�_J���
h~�r@q�
$
c�2������v+5K��Q2;\�~�E��������X_�|/V<���va
,
��Rd����W[�����V�V��i9}��
� ��8E���>�
�h���������&��
\�
`5qD��(�:J 9�����{/�0
BI�?
��7�vo� �� ���ka�T�����,��5��<l���1�n�1����[�2,��
ga��
�S-,,����$� �vf��V���'y� ��@D������Wl�{�WnW�����zq��2��CA�Gz�a��c.��=8�06��� ���0�e�U�V��TY��w��I��N� 0� ���f&��oDWG�1��Z'%p�3J���>���o�~����� ��1n%
�e_?ay�(�,u���V���w���_���
u����L���>ky
�x
�t��`0�Fr�!S���}��<�G��E}��]�^
�sT�����(S!�Cb"V�e_�E�\�/�����'�S`
�����U_AiA�� ������qXFxi��Z����I�
T.�m��LM�'�����i�p2��
G��C(zeH��qpb^�$c�������j�[i����
�[�&�oIN�3�2
%�p������L���H_�SF4�a����L�X� s
P$�H��.����VB���
V��|g�J��^��� �Q�\�O=��e�p�-Y&p�UdS���8��F�TTuT�+0#V����������e)��
��?���Ub�� ��>�A&P���%�]��?;�W�M^� �{��i^MBp��c1�?O���y]�)��j�IbyV�d*l�H9���`��t���=<
:��|<�@�:�Of����W����)��(���>|��=���(��-���7����?e?���5�O���
��C/
�
��}e��������' �"���u��Dz�e�~��Mc_��{��Z��m����-Yk_j_��!���������������:��}��T�G/����xx����DM��N�������>OI�P�_.4&�w �V������.P��Z?0
<z�~s5 ��9��B�t-������:D�3����}F�r)J{$�#~����J���m��"���\D
������*V�n[�!�_������N��$�������qL��l��q�A�����V�Yk[��U_j�����*��O�b
c�������Z{"�qT��9�N0���
]
�$���T*�� �+D
�{�^����
��vS���Oe%��%<(����jI�}��b;�"*���esK�lU��V��b��iUsK�\� NoL�
�����^�����K�Hv�����O5Fs-�2�}�ZG&�.!�g���Q�/���]h�DX�5��\E�`*��7�5�(���=Q��p=���N�"{��1�az�Z����%�����.f������`
��(\e�2�b��^�����D�'?�=���O;x"KpD�'�x�g�
�D��6
���`r�r��aLRAD�� �5���G�RT���,u��}T���%sC��l�����~�i��,d�(VS���(
L�@��_y���
�� *��! �
(=�]�x��F��"�"
� �YiF
�vb���0
�MN�A���^�
��WT�����t_W�5}q<�T���
�,
�%�����q��i����A�
�����@�����t�
����
����P��� [�B�1�`?�����8�\� ����n���
��l��=\3u2�G�����$�G7m���2������X��eN�����n��/i 8f�������G�G��@�������R�J���
0
�z[� {�@�8��4�p��V������ Y�Wv�:S%�&������M��{K
��z1��x�Wz�H;b�D��s��m�������5��2{He�������t
fy�t
�$
������,/ �2�d�@
.��eY7h K�F� ����1�����"q�,P�hs�
6���v
5����a��E7��JP�f�'#��8,��f)i��/����n#����T�V��'����E[�>�j/3���=LB5��:GvK���.$�W�P�
<2�-h���V:��#&\�,Q
�a7=)�/H���U�"��z�T��c1����q�vE�H�$do�����Q��T
RBSG�VT���A0:���^
���P�������gI��]��H���
�[�\��^
��`����&u��"n� ����0M ]Y�T�����&�@��B�%�Z$6i���#�����
�#
�r����>R�%=���=�@�����x� ����$�'DAD����-
K\Z�\�i�l���c&���aw`1�m�=Xm[�c�[��^F�Q��V��
��D;���
�n�w���U
�)�
��%*�l�����k�z�Z���I`ZGE��j:��CM*��vW�z��
���4���y����<��T�'����tO�P��� J0�mW���_� ��X�\��Lkg�(�X:�DH��?���0T�M���
�7�q���f�
w��"z���j�S@�o��k����
"���5S�����^
� �j���n���(��`�:��P�c��4���L��
����KQ��)4Z����Ze{����%v]� 9<�Z��"9�$qM7���J��U��@?���,������
5!%9��<�4�V��
�
L2��,e��w�����l�ps���������O��2�m�����D����;ym��"��O�O��F/�5�p��M�W�8�O���������{��3�nqu�[1���������
��W^�"
�J?�
�bC �����@*��fv(t����5�l4=)�G�[{a�w�r ����bV�
��)N+�P3�=�A�c
�F����y�
#��� M�������G$$�'d���7�� ��|�{1��X���:4���77���`�}SH))�!����`0~�\�O�{MT���/t�D9���ks��eE��P������M�[�����
V�u��ZL�c��S��hv���R}�[-��g�o������|���� ��g��}����7��|WA��� �*
K�����
�����sX�0�U=s��qt}4@[G�e�W22�x�4g��L�"C�j��dw`@�uI�jn�'VG
P
4� ���!��|0��Bn"r�����O;sl�O;
l��� ]����y�zW����V��E
�n*��1�6���o�=�sm�f�
����fTu���F0�
�z�i_�p���m����`������];yLr���lS&<���qPm!9N+�6���7�Q��$,�^O��?&����+���,d>�>)�S�ak
���z
�xLd!���Dy�G�L��� �7��,W�`���q�7��,������)U�8�����{���0���$�w4�����!r[
*gPuq1@f|n�f��p�Fq
�sT�/
�M<�q$,��M����j�&����?��}������|1��px��MD�6 "��)�?��W �iP-�7�TI�F���A1}���T��:��
;������
��U���0|src@B'
s��/��17~���3�B�A����U���u�
����@xK��F� ��r4���RH7�F�:��~�W�V�~q
L]p��
P�h��V��s��kA�u�.u���[��� u��"Q��@?����=;��M0� ��e x�^��+�&�a��m��N<4?����x=
���7b�iq"�#�B�4o��
I{M�g���o1@p��r��� �C��K9{F��G^��x�GX�\���z�Z7q�MGO��W���&�����z6�~�����
��v�Gd�F�M7�"
S�S!�?"]�;�� hB-�8J.��
V?�p0��c�W33'M��nr� �Q+
7�m�h|j
x���J����8����A�[��Gs���,�K�����kq�D�0����'��W����4����������!��Rs����)�z3��&����0S������]
f��������[V�
x�\��x?I�gC���q�z���O�"55��;UP�n����u�����{*���G����8
��,4�*G
A������
�)XNaK�����>GN\�p���RG��x��q��|�O��
t/d��a���`/[��RM �K%���������)3�g�:2���(��jJ��n�T,���e�
F����'$��e�|Q��O����K����D�!N������:*�HSW�#r���
y���U)R�GfH��A0H�<�5}�.P��)����E��*�Xn��L�7B D
V��#�lS��
���) �����}�ES�@%9�%�(�u���N�$L`�'bR�hR��t ��a��v2��E���f� \p����A�*�*����J~��d�Ap�
���
�]��;�v�&�d�'*Gi��v���;��
��/fVf�*���et-oLf��)� h5���.�]!��9�#g��� �Rx���������^0�3,x�'~AN��{��=X=$Y����-��$�:0Wzp���X�vw��V�R�
J��:��T��muH���;p����8����9�fK��xZ�;���=K�CPkl�� B��AM
�d�C���Q<n��b^G�'i"���sy��cG�?h{GaP%���?m����E���W�� 0�r
P��b�e�%������[7�HTm�h
,�t����Y9VVQ�����[���*322b�Z���%S]@�]l+��
�����\�jfVMg^*6
~�x�����n 8^�ZI�����`��VI�z�����o��*\'r�����Y�������N������i������
7������*�m�Wu���buw��2�|<���;
�����i!�u���9���V7LU����b8%�6�����Z����������N��^
h\V��5i76�;��by
���J�U���Ju|���
C���VQ��TQX��5'ib�L:l;�U��n�����e
nF����V�/�4����������<���lUR�'���HV�k����_��?�48�wV��1
Vw�e�=�b�B� jS�?�Ijng~���H,Uz���������C������d����y�����u��%-�yf]
eA��%�cY��.�.o����X�S�9�a����v��is�z�Zm~�%��D�bG�
����
>tN��q�z���3��yo���g�t�h���b�Wjx����h���������u� {�F �g��r��3Wx���j�1r�RM��9
�'���bEU���2
����!����J�`��n�Q�m���/��������
��RTEh�{1��Hj:f����0��������(��T�/~������HO�p`j�s Cu�E����}Iv��a��J���0tSe�}a'�����;���)�S�y��q�VQ��i�xp���Fw\C�
�t}�
y=gHV�
o��2� u�����{�]a$r�����V�v���T��Z�?c�]��E"�E�����o�����
��*Y�sY��=����@�#~:�Z��mM�>���q�N��A�������UNa'ilogN�Y�����3�\V��JF:�0�t��H\v��J���/Y ������}PJ�e�FL,&� t�[���Y����)
h���X��H��5o���V��s�I��e�)�dv�����B�X���D_sWy��k��I���if���W��;s1&#I�u���T�m�����pU5s^X�N�
����6�8bs2�����V)i���JA�&g��gs��1���~U��0����:���}����6iP��X�J(���~��H�_�T[���:�[>�
�m^U}%�2�~��j�Q�q=S�A��O]ifpiZ����mMK��/3�X9�����c�p��1i�0����FF&���&Mf��|:��2�%s���_��-�s��u��VG
�����{�L��!Y����/?M�(��U$��"�
e/j�3<�< 6s��B&"�����;p�}>N �m��~� 66�j����t�!,�N6#���5#�r���U7��_���7�?hFb�6+��,z��,��iQ��*��B�u��ea(���KM�����frS���O[6�nQ�Rl����,������1
�f�?���h}kNcQ�YQ�Y�oo�E��0p|�il�2|
�W���m9�G�Ww�N���cu�>k���:��� a��&���+w���%�����W�M\�O�,���m���u�4p,Og����|/z�p&��8dL�b�bM%�w�pEei��+��$�=�n�_^[:��"3���[Y�������z���o>C����f
8z
���wW�7��rh�.�v\J���`���B��-]����
~\�^a�*7�|o{���2�r�+��0x�����t���4�����_>?89��U�������������
��x�5�S��+&5[�������"n�� +:��\���
�
��
(Y��l:�u�����r7J���-;��'�S���.���T�7���e��d�vr=�{l��,I�a�fk������-M�D"�o
n��r��H~�����#�.��[�`I�%f����������#Z��[C�&� �7Y�iY�������gX��O�L�������~\�f�R��t�#���=�I�?���V��}�v��%?��N������>�������?�S����
���
�2��>q�^����aO�
�}�S���>w����c�� ��'k��F�\�oZ��t�Q��oe�����ZK���l��y������
K�����;r@_}��������8���o�h����e�q���G'g���������������W������|�FZ7wj}��u)q�PV!
E������!���=��������9��Kk�\������
R�����r���
O[|��|�}F�ad�3��Yy��x�����FY����-mu
���#]Gn��v\��|.@�P��F��O~
��{�n�
U�/-����N� �m�����qx�Y
9|�����Sl� O���+\�Z/�hdw��7��+&W�b
��Bj����]V�N)�t#v^��H���/�oz�������8�x��]�q�?l}��N���Sk����\`�Moj�+Z�"��"F�����M/���.i!�'�a�+q�"1�J!��3�qs��{�^'�>2u�;h���h#�")~4��
�����6����j.
�� 5t�|n��2e�h��(��� l�K��D
mj��(�:��P?�q5���O�":��:��;�v��o���W�v���:x���Z
*�V�� :b9��Jbq�=M�,���}V=�@3�
�x���/�
�#7z3fL�3������$��GZ�
5J�3k�����
���3�q���3��]��'�Xn�2z5#G�� U�y��������'����
��
b�VVV��i���R:VVr����{� ���?�-�
�����FHm������
��{�m��ySuRqnU��zIN�_�:T)�Z/^���,
9�I��*�S9>���k�����nZ���^���N�][��j�B��Z;���duC��������������M����H�'����2�gew���k�w�>zf
�0�����o�������P�'�.��[����6dZK��<|f5�tx�\�����E03�Y
M�f�/�.���N���D~J"������nO',W^b�H/��B��_���nF)���t�Y����$�
>@��l]����!6V���2�
�^�*�o�
$���R�GeAR�rx�?y�X����.��o����7Z�8�/k�P.��4����3�����[ �
gS~<��
��i�
^c�OX�N���u����zN���= �
�5
}����/�G6����>��&Qk��2d�4�0�o1�o+O�R��e���c:>�~. ��l������j�������z
���DH�k���}�pG���xs\���f�G
���#sqz��<4���N�J� ����i��K����ys3S
D��J������VOf["u�
k��J�W� >5��|��]O�{���b
�;����z"���<����s���?6zP2Ba��:�{�z��s����X�g�z�g��3��x����skE'��1��h2\�S��!����w���;_�|�����;[;���
�{����������c�{B
�v"�
����
�(��� �{���-�
����;Z��Od�/��6��z�����F���G�O��,�)��
�
��XY������J�������7K������
�y����q�E~�n�H*yR
B����������_
��}�>�5O�iu��7jf�k5�>]von?W�����s+ ��,�:b��#��&��R���q��g��������
pu�>�j7�(������=
,&����+�r�G?:\d�"��Wlc����E���}<���,��|�aD�
�\�����������uX=�]�ED���[ ������U�q�!�$�3S37\ �
|u��{�bn]�"r������xdq�&�������'�?J���7�
�&�}~1��
>�����;��B�U~�
�r5t�Q{
���?� E�^�,�E�_�������7��
�����d��'�7\��u�J�j
���w����o���A���D�Uy��v�����Z��
��Dg������
�l��������g���$_� ����7�f�N��������� ��O>^����P�O`a���L�Z��7V�=W;�'��#�� WW-���\��m�
>��D]��|z���������7|
����0�g��8���G�0%_h�=~�d��i���������M!�V���|�c{���u+f��T���~
h��3y�����v{\�r<���N6G��D�^
��~�_qK�^��D�.�o�������2�?���1�ZZ�Y:��A�����a*�����*��Z���'��-Z���+��
�&��@R8$uI����?��
W��=���'k�o[W�;=�������\�O��1�W�1�����/+����?�
[[�@Y�������^���q�`lW ���[5�~=e����b'V*�}u�Y��4p�m{IOk���)Y�� s�����>��P���lm�����'�Z}Y4%O��E�����:�d���2�� ���'O���[?�.4��o����m��"D���_5��IK+BL�_�����'
���
;��&�����r,+oi������
}9���5���|7���)oS���|a
�moT�<��6d���
�W���
���?[[_=���xxb=6��)6E����|��^N�_��L�K��� *;4� $g
���^�Xj1�o�E�# ������cOl��<��?
����b���������v������LH3��x���w��o���?��#k�z����z�����m}�����I~>f$����y��z����<�3����������&����OE,�Ir���!r
��O����5
�qq|r������y[���}��#��a�����*��
�|;��� �� |x���X�D?������}�)7�N�������Ooo�A(s!���,�����4 4��zp�
���o����]��ix��������J
�`o%�V����O��x]sr����_���
_�l2���`�J���x��H������r>��"�8q:\�A�ls��>��
� b��8w����qu�C�)'y6���!�-����x��t9f ������}����w��.>�z,��n�� �����p���5��V���~��c?�����9��S�.�����
���������h�2��&t���
��G��ow�X��� l9>8l�������K*%�����;u����/�T���}�����
#��=�&�J�������j�. ��'����bL�ks�d�
�h*$����������oqu{��=~��I��
L��Ly�*{Uj{��*_K��[^�c{���
������}�q�����w���0��������m�
�&�c����0
�Z��>>n�E�QVF;�!�`��7K���������~�je;�X}���d:C�7�.1����^��3~����X��-�n�%H
������3�:gD������6)��h>�r��e�e���m�k��j����>%���^�b����.��������O���iZ���5�;i|����_��s��vO_����f!�Z��N��o�������@���d�La���-��T^�N��C���-u��;���8��N�������������+�����
q�q��6�����\�f�{ �1em�a��43����
��J��RL*>�=���+�@9�������\�������r�@�
���T�����a��}���u��$�'���'�������jz� $����U��Z������gXYd��m:���zl$���D����~\�������Z��?;�X����~��S����{c"�_�����ep5~�~���z��;q�~�X����s�>������
y�����D.A�3�9h>\�I P?
����(-(J�P���eQ����|�X���#>D�X����y~\�����o�������y��5>�����)"�\�V"�����\T�J�p�
���)XM���N�
������r�i,����p��?�L\�/�����'#�l=�#Z��IH
�
66
:XJ�L��������r
jLQ����f1I�vq�nK�K�a�o��L�F�r�e�B5nKM�e���U��0
Tmg�E9l��/��M�{f���\��������u��]{�]������[a�'��__��N}?���6F��%�'�M;�������/�OtV�������
��=
�%��q/���e�1�/��${H�+�L?�C
�2����������7&�W�x����1�W��� ��9����/����o� O�;��!U�W��2%J�e��O>�Noo���&<�I2JHI
�e�`N�Jk��`2�)'�\Z�0mjO��s
/���a�v����F�~��V��;�S� I��|l}^�*y[x�NFa��aY��C:���0�%
�I8z�M����_�N���s��;�����?�"�II�����p)��'�o���&ywi����-�p@e�KM�����f���&�
��=E>�\�
������5f=��y��M�*�Y�TE�c����%��_���(�%��::�� �q�N����f��<D�2��s1�| �}�C�� 9��7Z���/�B� +/|�eDy���<�4������G{#e���S��F/�[c�n�
���j]����x�KZ���������CH%�A ����������N]S77,�����������:x!Ht$���
-^y9=_�l6C�Ez������S�
Z�[�
���[
/_�
�z�L_[���8�z2mm���
���r �����:���?��"6���5e����'��;}�i�^��g������
���P�r��Z�+����P���Se
���$����M��yE�n����k}�z?��c����{c&Zju �����1���N�$�C��p���U]�[��]���{#����f�b9�n����QrC�#�'�A��^[���j��a{Z��y[�L�G����;���u
��Jw����5`��%h�-����ZW�l��J��v
��P��-H�m�^;&Q���)6���{R6�[��
�4����j~$�>GB��
�y}-��
���q�]Ad
���C}��>k�R���v����t����7���s��B� ��?��t��&@;�����/����
�C�r
P�
��W��bNH]CnC����������v��AF�Oz��I=`��C�
T#���+��{��7�f����w���x[cy�f�����M�*o��������\�������y����X�����7�
w��M[�� �5LP�����
�b��&
���Z��g_du�y�����^��^O�:�l�\������_�~�V����|���W�7�����3'#�6.����X���/76���<VZh�g���Iw�2
l��7j�?>��p��Y�O�x��<�_� ��n���Ny��������=��"t�G�g�wMM��9��>�kL(���b��?
+a13* eF� �<��~l�)�\��R��j��;m�
�<1��s�F ��?�(��h?�73��C;.8�k6Z���z�
a���������:7��Dk}"�wA��H���a�k7��i��6���4��/�p���
��F���,e��i�(����(q��X�W�A��D�Z���U�����-��i� <��ZU��?�P�z8h`y�p��1�\�..�N��Xz��z��D�*]B�����b��
��w���7��l��������6}�6��1��'Al3�F��5�\���|�����+
�I)�Z
t��E�*�blY����d�[�� vq��+Q�*�s�n[5��{6�SU�!3��9<�U���E���wm8����g�)�%����
�IG<8�v����������}�:��z���5��c�;1!��Z7��I�mZ[�_m9au$��d����,���c����wL�Au�%���
���7cp:�4���������0��T�.��
�6���k��!{>'��+~���^�T�{��p�����l�=av��u�h��BM��y���R�Jo����.������;y}m�*����ao�� ���k�_
��0^��������L&is��|j��e�"��d�`��q��������a#����]��jS��U�;��| R)�k�:�w�o��Y��@;��7lM+�3�=�c���9�Rv�%ma"M�
���M�������]��KU��b�|��F|�_n]�
�����NG��jM�=�����pf�=m�6�F�}*
5$���|u�j1������y�m ��?�7i���V_��a��['o�V=�2���� :�s�-��5����{u�����M����XU&���mL�]�$������dxUa����d��*�f2��0"��b�I?���Ai
��
:��C���jj��
����(����B^�T2���m:�z�h1f~
�%L@l�
��_�zuqeV5yg?���SS^}4@��
}�5���k��T�����d"����i��,h1i�E*��c
q�O�$� ��r���=��odoRi�6$��
����B ���?6��H��BUID��� U��[���0����f������/�x�.�{_%���[_Tn�M�?I��
� lY|?��?�M�!=m$�k��
���{�y�I����
1������o��o���6�������j����'�k^o,��h���t��G��f��5s��s�=*��X�����?����k��w�n��'Z�o�6�k~cB ju���������f�^_�2�_�`>����P�
��yt�1����W���z�����G��?za@��W�m�
0+�����o�������:T��A{l}�6�����
W�1��L��G����W��9��"�����dp��vw�~��q����>��v�����A�s�>H0���F�u����[�4�zRz������5
�0�E�������U�������������ip)�5�����5�T�e:
��6���������N�������3�i�����������������!��~S�u0v@@d�/��@�:��&}��HOeD�t$����v�F��� ������w'g���Q�9cA4*�a���$�It���FV���N�:��� s��3��]�J�1����������g���t�����N��*q���X�y�E�rphe�������?���^��`)���U���:\��t]����2���z�kr�����d?@\
G_n���1��M0�5�`���������9E�.�q0���7�����Z&l������I�
2) =f��g
������u\���0��C?�K?����+�7{��^���K?B����a
%BX��P�#��;��B��}��,��Ci����:�j���$u��x�/ �G�Pn�d���gwe�v����8��
\����g�y���V�W�76� [E��U������E��Q�M�������3(��X^�,�]a7�+���
��O��"X':��j��Z������M����[�h��n�=h�Zv3H}C{�Y:�Y�O�z�3��a�[C���6�=�lq,����7U/� V���(oo'a�y��K5�@�G�=��o����������F]\���\���,U�5����V-k��n��������3i�x��:����8���'��Q��\])���4�.����b�P��G
�H{�)�5�2�ot�?��Z�?�x�1�-���
�V�������j -��:�� w�f�8��wG'�l��U������;��Ut�T�I
����������
UM;��1V���t
~6�x�3�lt m����L����������2���"���;������UT�����Ze�/�7������R<��Md;C��U�t��h8���Nf�#
�>w}����h�o��)�s����Qs3]gw|k�R
/��E���"S%_��u�M�b_�M"��������6�?��1��ab��'��u��U���dS����
u
_(��`,1�LrY�&����
_R?d�@����d
���>�
��pM���<U:��N�v��;�k�4�=�����N��A�_���e�N�~D�
O���������#��z�h��M??}Em�����O��-C�
��FB���U\��������D���j��������~���\C������N��Z.1�������-9
-
F;���
l`_
�}�G�}�����
���
�r����w��lb\�f
Z
��6`u���2�������~se��(����7�bbm_I����W����:�E<����Gm�/�d���La����b|�[�
�w=�{T}�hY=�6a��2����i,�����Ej
�I�l����-2[���t_���r(��������������6a�/�)��� g`~������:�#
�0N�k
�{vO�'�
���]�A�kE��l�&�0�1jrU^���u�3u�����-�
�[qz���q��\���T
O��-�w�v��;���r�����?�\
�\
_�����L�nw���k��>
��~
����E�0�(�7
�A[���,�@Q)f*��.����0'Rw�k�/��}�~c��c���2�$�������j����N��N�^��KYu��=y��@S2�sCaP;���at��=��E
����k��i����y_������/��n3�p�������5��L��5I�s����3m����P:�L�h}>���)����]VYZ��� ����
�<Irg>��;����{������������
����K
e(�^�vX2�n���)�}�&
&�� <5�����)Z
Q)������ <s�M���UnQ��W. Y�2U�����67�)��.8�����g���������kEMX��&T���MM��NT ~�Dvh�7hK��jz�N�v�Fg��yw
�4���o����R7�2���VV�TT�*S������l����8�����t��h�����3Ga�s�$�Te<@B~lg����
4K�i����
�1dO��4O��m���o'�o���C�)o_��k�{_C\���/i~wwY���h����$��J,�+15�
����
���]�WhS��)������M����Z�Z4
_K`~�[��]�P���y��8�����
����}���
K�����R����M��5�6f E��{�
���]�H�"/�Y�������Z� �es���w���\�e""U������sN����*�n��E�oo�>aP�w�)
r�y
�\�Z����2�`[�����
�"Q�QS�*fb}l�#������/��������'��K
It�����v��
�jp?|d
Nn����u���Y:�h��b���x���1y��[�.�<c;M��m��"
?���Qf��X+D�3��%z�wy��P�`��Y��U��f7O���U����o����k�^��b�
�H a�F���4�W�9xu�zq���Ty��ja9O��~et4��=���-��Q�~��b���O��������=�o��� j��c��}��O[�`��lq��lCj���S����0���}f
Qo9�����D�0��w#5Q����V�]h/BK��R|�O�O�b?m�C)���~~�O'w7��n��bq����%���-�k�����7��4Mm[��KL��M$|K$������e|�:�\%��N�Ioo������[ Qz�v'�����C��z!���`�7�]�+�
4�a�X������
Mj�2D��
�U*P?��:�������8mH"9R�$nL�)��br���N����`�,�TL��KS��� �hF^��6���(Q*�!0�4��L�����0�s����h�Z*r�����j��1���E.)-+C�X�|m��� �pV������YvSL�F�]�� �
]M&�k�����z5�NnL���Z*������/����N��]0���3U����m����.�����N�v�
��lu����x=���gG����~�jh"��BU�����
:�y�01_G���`�i��I2+Gf�Y���H�����Y��Q5zsw��)��5�����6�� W���p�����U���d�t�lt$�r*AVo��0
�
��OV��B��Mr�����������
O
���:~�o�K>{~p����Fu�����lx����i�n�o�
�u��!*0���Bew\[ �bx�6����Ha��fYN_c-6������<:�?i�������bE��D�T�W���"Ad����w7�*@�\#a�'
�����%
����
QR��B� b ��z��_�>�l�
��}�=�Y7�����*��=��(b��O����WW�����6T
�1o�=<�m|y�������w_��
��)!8��5���wu���U'�C�'��M\F0��
@������E2�e���I��i
����������q����Z�9<��
������FU�yV�����
I�>�S�vIHz����h��Bg��WV�������)>��4
��6����a�:~d���]_��@�+�w�D���k�^�+o�)?��S#���3Z h�F
q���t�~��~�H��Z�|d�W�
� w����m����dC"$=V������Tr����y�Q���w<���^V��Wa�q�-q���Y?��}>m���i�����
Jl������R��t|.A���jeYd���[�.����HS����Y"�V5�tm��?}���7fR_
�|�I9�����"��w�#T���7
���<)^ii������Q���/L@�J
�c��NE��i���u��2�[
L�)��/��B���]k
��/d��+'�7�X���-��x�9EJ$ �b$-�<
H^�O�(����\���6����i��f���'�g�OG�w�^�Z�9K=)�J��R�������� N���z#,�����/�r{;����j�1��q���{$4�� Q�#>`s,>�?��������%�mz;���U��?LZA�^�q
���c����� ���?����
� ����|����/�N�p|��U�����|Ty��({��
o{;������-��}k�^� ��I��Z�V��'k�f k�Z�[�������#�����NN�~?�Ntas��UGn�7���( ��]c:�H�e�7����@��A��mp��S�?
����,_
������|Q�9Q�����G��b�[��sx�6���� 9�u�xh����,��o��H���I5����f$!+
mOs��k2�]�m�_�t��i%��`Y�
t'�t4���4����f:{���.H�^3����s��x��:'�
2��f�f���u������bf
�U3�������:����fZ�m���j;�D��Zl�w3�E�jU�50�8
x�'�h�t���+r����V�A�O�J%�E��+)Wp%^��W���q�I�1�Z��:
�}���+Xop�-���7�������_���::���Zu�U%����w�����m �Z�i�U
���6k|�j�5�[���l�Lb���}Zt�����F4�-�+�
�#s�6��O�Y�11����lwU��*llD��d9�>�����>{���c���4
�i5�]};����������d$����}�}��6�=6���" t�
'D�;�g6�vwmv������R$���-v�#{Y��|���;<�vq�{��4��z�������>�>�[6����j��� �c�aU��a����?,�?"W�Z�������M����O����8^��c��L1��4+�gIB��
1����:&z0�R�f�r��s��
�6��S��m[�
��
3���8�Dk&>w@�N6]�[�?�5&��Y)��g�)T�����3=*��$�T�
mG����������� =?8|�j|r$�9 �N���`��I�[��UEkp�v�d�sw�e �������a"u_��/���
����
����5�v}�����=|�W���W
;�Y�����\aI��\�G���3���O&��^���r��
����<��y�b��n�u��W��W�1����������MWLD�o?7��8����F��<��V;V�P��IS
k���5
��$=&*�?,+*TV���V=���Jg`��p~�lm]M���Zih�����t��-s��=3���0�oy��I�g�G,E'�9g>��V7? S��rv����5O����@;c�#��[SE���%����^,����3.D�a
/w�a��s_���)��Y+-��,l���
���w��*&�����������)~��<����{� ��������M�`� -G��2[��-�S
1��~10���������zJ�����4��C)�d]��4{Q>0��W/)a���J�0�hgx�rN�0J���2r�����W���IJ���=I�����z���l
nK�"�"�M���[��\��1����d�r<i"������^� �8�z��X�{<�J/-����;� &�`���D�0�Y���XW��Qj
H���A�?'l� �77��9C
���Z20T]Y�j���"����y�+A��L�#��?�3����������$u&y��?�YmK�t�9�2�Xz���_e)�,N�����9
S�{T5}f�/�#*IZ�CKU���t�0�f�Y0���{s���~@J}o��rL�un��g~;�����.����6�V�`� W�A��M�-�������S�YS��R�&���J��@���T{A���+����Z3Zb����@��U��;8���;�}]�!����J����w�U :�B����n�;:<z}���}uO�����v�.�r}>�1P�>������+JW�l��6�M�
PJ�P=��p���H��UO�k
������k�RI�UZ�R
�{|��N���Xo~��%j��.����-�^������~�*K
�7k�
�1�-�XA�M��Y}J�K�KfU�����d)�I��1�N$A"��6�%�������j�$fir]���Uh��� ��Y_\��Ew8nu7b�V�p��dv�� �x��6rd��'����~�{|S�� ������s�w^?o�x-|X��9 C�zW�S�nW_�,��7_����+��A����7[�H�^��-�*�"�������`6W�� ����������/w���g;�w��~��Kk��>�?���4��C��1���A'|���������!����
���.sbL�aE���*�M;�|e&�~����X��}S�7��4?�z ���
3��~@�
{zI|�AK��Gh��T��%x�_�px}��=g�Nc
��]5��S��1����+����Y,��J�)'���8�-�j���]��;�����,+���u� '8��1k ��b��h�
L7�~m �"�}�������V���I�o�}��S,���43��F���?�k��q�]pM�.
�
�9+a��;��Z��V��t���+��5���TX'^�79 �o��,qR��2&�:e
�����V��y+&���:����R������z��>k>��
�e�x3�j(����:��s���h`+��&a�����;��Z�����\6�mo>{1N��Z}������O��,:Ye����F��d������m���#`�a5O�������p���X�l������n��/��)M�`���n�7���~���r?
2_���o� ���
�����
���p��J*��l�u{!7�3
��$��\����;�_/�<b=�iar-��T���U���o�h��}
��O�X���������c�7�
�
>{;��u���������\�E��O�,��|p
s�������O��4r��>��=��P�v��<
m���c9���/F��|����s�
y���:������
\��� ��|^�V�8��^~;��nM�O���}�.5����2
�70�0�H�>8<=�}�rt|r��d��zg�
�z��v��=�>Y������z�z����_}#}����[�������Kk�|������V�DA�;tS��s�����
nJ���Z�e��<�M�����U�r�,,��
T���=Oj�������� ��Z��G���v-
�o�V�m�3�om���&���W��
hQ�R=��72<]����>cPc�t�����A�;���v�/�
K34���m������c����\�(�;��~���*Z_� Fn��]}�q�_�
��m��A,<��n}���d�6��Z|���4�W7��WS�vN�/N����������D�qU1�������+
.m�_��[����mar���U���k=N�e����$q
�)6�A>D.
���
�����c���b_�B��&�������9���zV��J��h������;�u��n�!��P��
�����:��E����{��V%����`��_s�����~�F�:�&���~o:lq����P��g��[���7�7��Y+���t���.�L������S
��3B��*����v�����m�x���h�7q �R�|��=����g�y�3����V����1�Y������}��hf��}B�1��hq�B�#�������\��7�p�c=ho����g�y�D�������������)-�\`���H/<�\7�j�"�f���u=.f?
������\��6S��2�pgW ��}7�H�#���&
Eq-=�^c�NG�;��k��m��t�Ji\'_�Rq"�o�Z'�����o�������
q9;���-
K��g�w��� '�a ��o
�:�\���D2m�.��[��4�����?�d���G���9��� �G�����0�@�~Z��������� ��"(:#���\B�����~�
�/�0
>�����eb�
�.��i��p�n6�6�� �����E4��8����n��@�5�|�RA���mZU��{�
��� �t
��u��'��oew�u��O�_lk:���f������/ �N�zw�
�L��M3���}��k~{}B��J(����B��
�n�S��lsLJ���v�[����
��.��.���n����,��,��X���K<T���/�N��e��d��p}��Y����sU]�JR������������&�L��tT��~���r#�/,�i�(��o��k}�����������������:�Ds�c3�y�"2��U���g~;�L��iwI��Fl�[����93�
b�&�u�d�D;
��>���\��&��[�4����;��rIv!�����}���q�T��n�a
\�
��*�'��*K"��[L}{@�
D5~��Z/���|�k"_YL�6q bQ���E����Q����zcC7x�\
�P,>+��9(�����k�fe�\4
��U����|�9���|��W9�e��Gm=���=���bm�>Y�`>��~�>���3�h:2�?�p�s�9���T�*
��u�y��D�����>����S��uswuez��0m�
&x��
��*�-��.����
��w�b�a��e�kL�����E5�*�V*���n=������V�i����M����G��T�#������
(�\��}S���
_\t�0y�m��+^F�
�+�t�un�Ey�rSE��I��M����ZJ�9��n�
���<���jC�1���g}n�E.�3gZ�3�����]�j�a/�
��V�
#�b^����
�u�e��4��>a�d��}�@�i{��^P�Q}�p������8���
��dp�������T�$���j����S�1�q��i��o�h�����2�
��������
' �� C���u��1�t�54
M.�
��x�� F
-:m������*~�����g��7)�=�[�Zpt
[��3��A���O3�>��jL����)#Xw��I.�!��+P�����b�2�B��j����f��|>��S���Y�!cZ�j]��LC��������r�&~R%V�d>��]f:c���
f���J������s�9{Q�e�\�N�S�\��-����Q���^�����+������j�x`�`���H����/��*�����1pX����,�������PM��`�������V�����_[kl��Y�&V
��S+�����j��� �+���e��^-�eM��������=kdH��uk
�������r�,
����O��X��t�������B�k��������U������-/i��`Zo�A�m���@������V�����O���~��z ^21�@kO���
n
]�S��j���L�_]y��3e-z��[����A- $5�>L����m�
���cV\���`�u"�`����&<��c��JZ�> 3
X��
}��_[�eO
�4�
�*��E+n���r���qM
e�J
�z�������
\�{n��VS���x������ �� ��
�Xv_���*,�vs)D?&c+�r����.�o&��
�������0��J
HeL�~i����I}IEaF)�X�]#
*RT����{{��[
8U�rjF���HN��F�R�+A����;��]J|�i�m���6Q��f������0����8�7�f��z���3Dm���>�jD�)�@�&W���=���1c����
�Y/���0������nW�e�3����W������B����/��w��{&?���r��0a`����Mf%�`�����HO&��G�g����NvO�VU���O��Q?��/��dT��}�����!����-�����J��?���b�
Z����'�? �k4�{���������k�d
��d��e�7�1}�P8��}*�<J����+f�F9�u�:�j�q{v�(��'1y"|Y�I�`��*z�����_Q������Bg�xZ����q����c��{��
�l�O}���=m�������
V��<��W1}���[���� %kp=���C�hB��e���'
���C�s�r(�������}������c
��U�wa
��?���F��g���hj��Zo�?%�uU��V*
����C���^�yv��UL��
\&�;��g�1���B������&l�VH��?��0�m�����.ZdX���tD��&�k��x-c_�_Bj~$f��I��3<��q��kg�".WuQc�l]��y���F��&��g�G�i�G���s��q�����w1V����+�F[�,>�cG�����Me�L>���l-}��s��F��
?ln�5XE��)1z�)���@aw����%�%i�S�z���Cf��}�>v{����*n�D>4k����b{���H���uqtZ�����}8������um�*��������E��}�����nEE���~ ���s����������;��i�i�3C��������:f�F<��*�>� ��
�0��]�
4����l�v���s�Z<����R�Wm�n�F���.���4?ju�+��H+�J��+�<4\I)���Q��)�i��TQ6�7U���$
���u��������p�{
��*T
^p�����'m���/��#���V����vY�
���h�k:�q�Oo����_��FU�(#�
��B�� �?���z��d���fq�WGt=��X�����-�EX���e���cM�@����#���yM�U��2��&&��)�T%�p�]<��v�3n �k)��1��(``Uf�
��,��
�>B����5����\,�nb�M�?���q��>�zwM\<�R"!d�u�j���U�
v�
�����y�E�Q
�K���PWP��M�q@��z��B4�X}q���D�=����M��s��&A�GV �0@��*.������B�
�i���X2|^H������le��W�n���:����f��
�G�x�
�Y�'�a"
/�%���
����ry=�n8�W�
���?
}��q����ws�>_��Y�����������������
M���H�u������|�W���%^M�����|>��U!��M=�������2B`��S
R��t R�w��f�k�� Ie��+Qtj�l���gF���4�K����+No���f}�:�mw� ��^_�u��(F������A���7v�����'[4��g�����@>����
4����h>7j�J��5������YmE��-��3sS���
c+u�#��
c.k�L[F�MK'�
^_���� �q�
�<G�K��'TQ(�������!}L�R�s��sI�Q_:\�zDD������M��WSn^r�Svv��p���
����������W���������KMG��C/�N��e\=[m����bN����W�4o�n��>��i�.Q���Y�lrs�+�Y��HM'w7l6_����V�T�:��~�N\���X�E�]��kZ�7����j ����'���������b�8W��N^��E��Z+)�K���+�1�]��OoQA��ZD��2����a����8n"�I��lG_��l���hI��J�_�d���������x��5�_7�����s�Y����/�r�G����+|'nic�*��v�Hj'���� ���9��7�������n����V�41_���
X��z�$
���
D���
+TgT�F-+�6�����
?m��+
��(SZ����z�
�h�,�:������7F��ha�:
`9c�C
%f���J�����M�^W�����#��/po�3��;7��Y���,��K�����R���B��K��yl���E+�������27�_��b���F�
\^s��U���4$5Z/
t��>Z��A]����DmU�t��
V����G����-'7�U:�5�������i
{�h�V����Lkn��g������/af
N1��1�N���Mj����U��JS��S���v�����yq��3���g*�-�Z��K�BWud5��t4�i[�Ba)��%9#g&������O��.*=��g���0�
R��
R��
R�������R%����d������z�Q�
�B[W��\���u*��~����
��(@�
���u���J������>���R
����o/�?3���Pt��A���:(��]7��2�O��f)��-w1JH�Q���]l�o�t
��m�
����`�gU_��w�g�f��+Y���}����Ya��W�������m1y{���N�/��_����^
=����t��
�88<{j��T5W��]�m�}O��������i��
gDzy��c_��I�>��t��u�)o��������|Y�,nC�o��f����m���
�:eJ^#�� ~o:���<8/�xr�gkzFA!���7��B7�X�Rx�J������@:D���@����N���
K�J�nSc�m��� �����X�X�+=�i�zU�
�R��(�4S�1�*&JZ����.�(�_����H%l��/">��I���3���^�$hj�r8��'�&8�Xfj��V��rM���*��T���O�V�����x�!�,
I�$�-��Z��|S6�?=�Gr���Z��b�z�0��Zn���C��P�B���5B�T&�_�'PJM�����[9����
�z�r�H#��M6]g!) �
&=8�����.+�Y�c)���_I�����D@X_���w�-bA��J�
yJ�ME��0I���#]pkm�1�H�'&&��.1q��.�#v�zk�q_�Q}0@�m�xh��k����"��z����~�?TWB�;zuz���I
k|�x*qb�����
��ku7q��P]R�3!����4��c�u�c��[���9�O�p2�`��P�������
�����9��g^����J������wy��~������e����F2����U����s���.r�M��-x ��}
"�4 ���
Q�'X ���7�[�()�/k8�����n�w��` ��
�
.�W������{�������X�]N���M�>;����u �f�l}�;�-',mi�\=��MO�r�V�y[��MY�%�K���U����k\�e�1E6�
��"�m�
m
���8�?��:r�����������|���;�.�����N�y-S��A��K�����=�W-��L���1���j�U�JP
��?��//U1a��U�ttG�@ta�M�
1i��������u��eKX���.^=y`�EXk�s.�����/��nqI����|r�����N��OQ�������A]b��izX���J!�#�],U�.��v.v.ww&;�;�;������;o�����9i�b����mu��v<�~����;�n�z�V%����x+7�|,&�:1e~��v��~}�{
\�������t�6��|�]��f`
��mz���oA����b;(�R�v��]f�(T��\[���f�js������
�?"����1�[i��&��N�B*K�Z���]^L����w�
�
0{����Cx���ZN�h=~9�U�� �1w�������3�~@���|��H��;+}.��YZ�~k��
�8��$���M����>��Q��w��r�h_�
S���u��Q1l��N��3
"�3���X���$N��M�����b&t�x���R����~�{��o��,�����wW�T�e��������w�<?}s�.X�y}[st��?��;r�GM�����kK��8�I��`.��n[��������Kj��v��P���^�z��1����C����Z��qZv�M� �I��_��1&@�vlw��G�PS�
��q�
�<��_W��xg�� �����,��z�~v�^�Su3N/���=9w�x�B=���?8�/����2w�He!�g�dn^8�7����96�
4�i��������;OCP/�����q1'f����xK�����w�����5mw�������� 1li�o�k����U9�>74��x(z�C���|:mF����F��tr�����^w��M�������n����|Re�?���������;@+��5�fZ��
=ar������.q/�������:�N_Uk
�'���;����W ����Q+0C�w �����z�b�l�j���N�j��h�����x�J�Zyf%v �`�|����^>�9_<�
������{�����3���
�V���v����� ��:=:�r�M����w_����#��[�>e�&+ �v����-�i���w��$���8�IY-y�OX�.
s�+���b����I���E�����.���d������v��^
����wCM�nmzn����
���6�
�������T���T�oS�,ww��R �:+��8�r��N�x��41��P�bg'�����_th��@�r(k�gM�uu�z _U��tr������JZw�+��U5�m�:���Y7W��=q��]�{U���:�\G$��N����a�;��;�
�B#������G��%}����� 7�S���Pe�GyQz�68���~*u?�Z
�4|�y�����g��D����������/9��|6 ��G��4
��
j���^���Z?B0��X\7�C�4s�16��H�G++�I�T���o�
K�^0�P_Z16]J����^6�`n�s[w2Oo�j~���..� &X��-�v�wXYu�������c�Q��.Je
��h��3��W�D���\��_���/f�T%|�����O��u�XY���
�vFVU.3���"�t��b0�: yu�����TB;������^M�vl�%�z�j���:~V~[�4��-�� ���O�Q��������u�.�����Eq�}���:v�Z��U/���������g�1�77k�������
����kz
1[�Z��� 5B��b�j�z�
J�)*G�����Q������+++�B>��Q,t���&�<�7��0 3�LOs��hU�;_ �R$+^7�
���iCOOk?wdmQ��{I�#�G�D�@�o�����������
���$�;S���`
.A�m-���� ��/�k�ltz���#f,
��
�]���23h3�j
�O���n�s���8+��KZu4;s�uc9�P
-���b��m��P���,�����7-kf���V3_F��2��i�����[��yO��ej�AU��j �=]��k4���%�A��q��^�]��s4����f|��HFN��!gw�/b�g��fwb���wlR�Y��)x��
��Y��O�1��s��
1��+�g���
��}��{�}"K�_o
�Wf��TU��G����{���� plr���t����1����c�-\��2�����A�_����n�3dM�Xv�����D*]@����L�wF%I2;��P���vY���Diq�Y��1W1����K�3�
�4�n}\�W���
��d�������� ��������;������@.��#[
�� ��m���t��/���f
$��|���|�2���z�C���o�s����}�X������I�9�����"����U�K�(si��B����4��%HwO{�_�.J
����������Ps.����-
_����}�*�>��j�� ���?�����M$8j6g
�T��-y ��=xq�INGbLT�`R�|4.���#
�t��AHTN�[=��XEO�&�
B(���;���;��w~��
I��t���/��;:�F�c1��`�~ ������/��N�=U�c��C�q ��v���QOh��
�h��K��f#0�1jz\rOPFu���m����8���Q�'e���DI��^��On
i.��\5 ��R�AO3���qv��-m ���Hs��z��������BaxR���`.������F��<E������������&������Fl��4����-������4v$
>"?���H����-���0��ALDb�@�S��z���QJ�9S��i>���Y�����n�a
��D��-�TM�&I�)�������j���/4�b�}Awb
�]�|5y{��#\�7?[�KS�6�����V@�
���r�%�s�D�8%�Nzj`�@7G8n�L����X���y�����~u2�w�v������2�����T�2�(�W��
f��?��c
�N]&��� ��$�d���ww�E�an��VL������N<����P�L�nd�����u
���M������[k��
��z^��[�����^�/|*ogb����`����o�OF/�^�B7�+��u���Gxu
�=;#6$|��6��@D��b���IU����
$0ym�c��_<�WY�����������#���^���}�zVfU�<o����hjx6� i2��0�L
?3�o�/5s�
���Q4�l��J
y*s��M��m;����� �=@������FL�|C�|����Sh-�^
B��H�x�=� ��N���7�ZFhN������1����L~��n&��<Ko��O.�`��# H<�+�X�U�&���������L�VW�����;Ihm_��L�e���
����o'`���u�#��/
Y:���3�6og~��I]
4o��0yw��O Q����T���
j�����,O�,p�R�@�W��..f��
�
nob����>���>���EE�8z�-�RRIBF�O�2�JG�u����+)�0�����|#Qnk��1boZ�,��,����_�������� �������:���:3���17|��x��|���������6j�
��i�\wh�]���R����N�,t�{�3����;�����`z�>���F}�1XqS���S0�nuMSD���U�D���@��|�`*�'��$~f�1:�q
n,h�: �]�f��Rg��>��g�8�d{������Ts�rd��N���~���3O�"�zk+M�Yh�n-�/�r��d�{w���-r����[^���w��������o�]��n�����U�(�Y2�8~�E35��]��,�j�:�!��
��5����� �~']���)a���C�T7~l�[��f�������B�����RZ
��It���WE��:��,
%�p�s��He����
<?J:=}9p�;�W0�_U����So�q_��
��"nm��-�*-Y�/!`���L��Vm,:��a�7�����J������B���e�����*��x�'���/U>8��f�IpeJ
���s7����'E�hp���R&��v������UU��0H����K�`Vn�h<��
��U�DC$��$�A��?kv����6�l����<W�|e�W8�����z�7\-~SG��2'�a�k�����-R�XO������|r~s�;:��a��M
7
���LL��WY��h�e��������d��*F�'�[�O?mq���$�(O�+���I�������Lr�w�����;@{U
C�$���'fu�k����[�
��e=��<��O�k�]�����:Q�+�������}�;�r��uxa�mf��3N������O����X_c�vTS�9����\
��Q����%
}��1�^���t
�����5S�=G��������o�4X�-
��c�K���/���a�\�������3otO��qWE�M��f��U��c�������fNr�`��jS}R6�v/o ��S��':�R.�xr��*���6�����[��������\���1P1�����=S�
�2���EO
��.��Z�����(L�f-V��L+ �
�\��9u�g7��k�*�6U�z���U��K��@��\u��
NnM�[e*�q�+L[}��TM�� =��i��$8/��I[=�� W��]��������UN/S���&
}�n{TX�o��M��G=N��5Q�������{�F��g��o����3��m[���<X�z�[��M�p &������:x�������k"������������Z�0j�������8��i7@�=�����
Qi[��3Y��vZ�����&VH��du=*����W7�K�Z,(~)Ex'&�{�z�h����������<o��@c�f����e;bCv5|���,�����)x��d�������~zd����M�6
3��&����}�VK��QnV�
�8cG[V��.�#G������$\wb�6�,&��2�X�&����w�K���8.@������
�d��v$��9� i�gK�B��f���;�Y3����L�-�Z���Y�-��@{��Z6�+�L�������-�g
�/���%���fQ��������qu������n�X���I%Oe�z}z����X�K���u���+��������JWt7\}��+���6�����e�I�����t��C�"%���'2�a�� '���\ ��^CKk����1�O�R�7��|A����
�5����(g Hw� ��g���V�|��������������A�����u�3<eE���< g���`���O�����t��/�5����r��r��f��P�xd����'N��&:"��h�)(
KVT�������.SU�dITM�tr=���/�*�� �'P�2�L�-����m���6|?p��
o���m��G�:�Vh���OZ��g���>9��,��}��}���p�G���:-�w��]v'�{ �M�m�L�rwu��z����I�= ���Z��Q���`C)�t�No���G��%�wUv��U�\�
W�e�Ur+�vN�T�+�vm 9Z�U�0=��"X�J
�d�KV��H��H�:�^#�[�RFv���e�3�����g����Oz���G���0�|�MR�)xSAx�A�|7�9�o���^�RT���@X
pq�+
4:�
���#V��u!��$0��xg�>).�8�I��Vf�����!�D�v�
�e�6���
�M��=���|�2�4�Jf���v_�<��-��������~���0��u���j�A
�����T�&�k�T���<=
������Yi<��/��@GL�������
�+
�z����jK�b:��Y��m�z�qez��S����Y�u_4�p�E�6�.�}m���
��{kT���a�l�
���U&���G
Sh
Utvtm�7��bY�P��������@'p����jgFbu�Qz"}~�e+��b��f���4�r�
����������?0����%i�ca��D��t�L�����xz[����@�
�M`��i�����&wl~���=zegK��_��h���������o.���E
)t�l�k�4?���*���INZ���z����7��.�Q�O�^
��^���V�Y�q�I��
��U�+��J��V7�`z�[�3$ut=��.�*�\��ic��Vd&�T-�����:Z5o�N�">M�y����~�l�7��s���S<�b���A%btm,z��U���`����m,��j{s��r��=��X^�\k�_�Q �=���B����������i'[�;z�_c��#����2z�T[��-�~��U
���
�X��,����
�
#�Q�]
*���.R��C����Bk<*���
p����/��U�lt�$*TNH
�*o� !M���"�F�-�4��Ro��3;;�4���)�}F���'R,���"�DzX�Z�
���r��f��;�Eu,�P)�
����X/-��Y�?x��c��`��Z�2�3�����s�D;����L��f;��ED$���o6p�����<^?O�5KAB*�-������l����#�o%��m�b��I�����������F:wh�3�VIW�&���R���OS��F�sc��p�`���:CD=��^��j�BU���{���QF���2��fF��r$2U(�t5����~6r�K�:��]������*O�5�2��L�%��}bm]��L���wmU�A`��T{�vVm�7��4v(m�$�1Z��'��'o((d����3\m��U;B=G�1���h/���~3����)��Q����&k���'����>[�
������>�\s�.��b�����b ����f�lU��CF��V7�������C31���B*mcC�g2���[�����\��Z� �-`���������[���S��^ [��I+{��1���N�,����g�������_���
t0��k��J���3)�B%7wW�n�E�f�c�MU����)X7������q���T����r�f�n�N�qBh+��7��X�
��
��`����x5>�\~����� w�,�u3����DM���)f=�oR�'���j|����g-�^
�)�1��Sy+@����|*� ��u�*s����'m��_�ZgE���������X��u���yj�3s@�hn~5vPm�O�nf`]S��\��\�,0�N :�.S��b������J���2N[���HOOz�J�\�����f��Y�l#=��������r��h6K�To���M����i7
�\����z/�"/����Y?iQW��f[eA
����������t�?��?TRsdu������k������l����"U|Z&3�Xm�Ng?�p6�j������v.��d6]���C?��Ow_v��
�3�������J���e~�
t�-�U
�+����v���d J��&�'���x�w�N-�
�@�6'm����Zs��$���@
;�)�Z9��J���B��Sx���� CB�`,;�o��=
��D�g������
�S�K�Z�2����AR���~�c}z�Z���g
�N��b����t����Ntw�:g���:k�uH���j�Zu����w[���z�Ne<RU��M��7�
1YJ
�5��<F6oh��=Ms`�c]�l��e
Z����`)�u����m����[�����-�����^��J�
������-�Hb���t���Xp$���P$��t�K���K�7��Q�Pk��h��q��n.�>�"
�b� ��-X������Z��:�Y���1������Y�]A���Cp
���hQaE�q�bRyzs3f�_�����_W�
_C���n1�k@�_�F��v��C���?�X�Z���Zq��?m�������������7}YZ�D���2��3M�y��W�Z����b�\3�mX.����_��I*�����W����fC�Z��*��Ku�_�[c�8�%5mnZ���D~WO�i������g��xf����Z
����_�����Wd_�>�o�Y��D����������
k��i�2��w�]]I���~���R{��p#�w���T���g��7��f���x7��B�ne���N�t��\���jT��[ ��3��S��yg���&��&};����7u��m���z�E��!~� �f?_�;PO6�����_�U���z������R�1��f
�@��
V��W�p�fu�Z�p�M*O#r�-�.��M�J���Z��VNn��@g,�i�,�!F���V��,
R�<���������F�������'���G�c6�6��
)��
1�=?8����p#�8�����b��J�_�5��|
)@�z���<����CJ?�}�Z����������3�EL�T��/����k$��_
|�?��uv�US����Y�{{)[�i�
���][_�,�v\��(NV���Pj�i�����Z|�b9:���#��������X6�J��/��!���5�V��l����Z��fz�W�����a+tY������ ��
��zC}$>���N&��W����.|��o���L��f
�lM[�����m��oFC�76������ �
a�g/�h^�F(j��P��?(��Td$�f���������?5��,���%���NMXt��bS?��v�V���@����3vB����f��F'��_����bu=r������rV�bT���F8$�<[hD����e@E�[�K>��,���^Oo���ei�_�M(q�](�Y�Z*��<�
��e���P���������Gr:pjdZ�'�������������$�������'�<�Q�>�kAD�Z+|�����5�t�i�m���GuB��d�n(�>����������\�C�l��`���}���!f�;m{��_���?�=�
�
���>>����O>-S)
;�k���6���~��Vo��v�%������HJb�����X��: ��4�8�.�)�����v?�
�J���'9���?iz#�m�]b��W�������m'w�,����
�j�^&-\�_X�
��.��x&[x����
a���dC[UTh��*�/�8�m7a�C��@?�p�\�F���o����
����7���g_�������R�HrC�")�]i�}v�nE�Q����1�\��b7�ut�I�0����V���w"���[�Lh�,�S&��A��C��*�~�{'{��^\Xi�n������l}�o��==�H��{r�{n������d��r�kWM���}��~�l�T�~��0
����{B+�?���^
���\��M����� ��/^�P8���(�������6��>�
� J���^�"q-[�
��������d_�����
�@S:j&5cUU�����p��z��u���lr��vU���
6�
7 ��{�DOu� {�5s��bf�M�%��=��o�����o������S3�zz�-����I�'nZ��7,�QY����m���5`7���
�ZO�x}��&aY.K���Z��������dq���#�����q��^,���[|m79�i����i����*�K�/%� ��@8h`���_��
`7qnB8������+k3���;S���e0��.LS]+�
�+���]qV'l��Um��+�Y�6�y�Lh�J�O�[d��
����������������2\�o��S�p����=���� j ��?lOo�����P��]��>����ZY�JP{���Re��1��k�}2���b;n���X4�[f~�jY��yJ8�!�7�����#�
��k\V�p����&���#��_�
�<mC���CI�MO
A%{��E�o�rh����i�G�ig:�!�[I�����8G����;��|A{O_�WN%��UQ�*����5�c����U�����3��z\�n�8���\�9��B�1}��
������F��i
�78
_��G/�^5�(����Ad���"X����o?s���0�zi�X�|jO��U��9}"������k�
�Z�
����ir���D
y�|t���� ������K�����Z�;����t��N������H����
�b��M/1�Z�������-�(��+j�
+��O'�����$~����(.d�b
�<�U,�FC3XY���:��b��^���/�.[�$�*P�2�JY3O�,�
����6�
�=����;�?54���z��S�����Q�m���5����f�)Q-i�������dSL��I�i
�1��.���f0������43�_2Fz�z>7T�s �mrY�V����~�
jVL�,O�b���jUGlv0a�n}��
������t�$���T6��h`����Nz!�x��0�����
7?p�����?\�������7��O�k��$�=m����Lhjk�&�B���������3�e�xc1�m�_���w�X/���3?� �v�oAW����
��Pg���
��G��b���zT50n�w�
�?�
��5�m0���{M�{m>k��\���f��k3D&����7=�����6��W�
6x��� S��k^:xES�o�}p[���P��Y'�
��#Z�&����css/��8�
z
'� ���N����sY�#���MW����%)�$�����_<���?;y}��{��9���Nf�=}�/_��{����bce^ ����x�����c�2)_�>~v�9R���X����4S����em��3|UEe$�_�$�<)��w�b!�m�.�\I2��H�wLi�|]�n�M��>��y����o��D6���@�
$�%@~�N����%�[)r�/�DQW�}�{����ps=��%�cic���v���. ��f�<��=��,���(����.�BeN������f��"�|�p��w$+�Ci����EBY+�g�g����WG�gG'�/����^���;�q ��{';f�-^����������_������������#���
�8 ���W��JD6��Y�4sT��~lo����������u�m�����/��}���kr=�F�:|w{����#�e����_������G��K
�S� ��)�{Q��\�U���
V�����Q����$�Kb??����F;_H�R��q��y [gx-�%�D���O"��R������,U���2yw%����t%�0��[���0�Z���Q�UoM��T� �MV�a��9j��6>F�J�-�ri�y�����;A�y@�<� ��������\/#�����H����p��f���7�
���H��-��s����(JU�EN����
�z{/0�������:�>y|xpzf�
[�moy�W��}���w�O������~l��-1��3���L9�)]��,���0
C�-�;
�-K��?�s��A�$a����Yd� �Od~�+�s������<����C����
U����<������������<,J�
'*U�u�3��fl�^�XVh9�� ��P�?�����.m\��YP�_�}���v�Dx�w������h���E��v��v���Y;�
�'�
�f9Y������X�q�:nT&Q�YP�n��ya�{N�Q������.+�,WNR����4���W��mOr
���H��� ��0�}�/����D�Af+;
l`����������g�r=/M������[�e��*��<�T
kj�xA��
��F��x�g�e��~�7t�"��)3����
S����i
�+�vYdy��w�
O�/�V�W����&��n��]z*��,
J��]�w\��l�p������R���<��T�A�YRn����<(/��0
�Dy ~
%��
bH��Vy%��.
�X�,q�0P��y����"K]���*l]`�
�����5u���l'��4/3, ��(�4u�(��iP(�bF��x���d*�K�R�����c5<
� OT�y
�0R9N�����AhGN���A�� T
�v���� J��ee��8!x��c��<L1��
�k_d�
='���1�K7
lA��Y����~\�����Q����7D�s
��
/��^��A�[�:a�a�x��Gh0Mqsp`
pD�u��Un��Easr1^&.�����V���&q�;����a�F
�a�~���
��^����e���Aj
��s
/vc��S'��(�����
������8N�8w�D>h<���^�b����X�4��8,�M��������g��"�A�X�(�NvGn�U�j��,��D%^��
v���G�����)�M�<���#��}r���X��E%��3R�H�T��$�B����(�����GvVz����i�}S�](
Y
NS�i �*����7�
�F���@x��m�a
��A��I0�)�����4����#��� *�����f��Sf�;��q�zxQ�\
`�X`G��$�i������2��
0N��]�Q�F�}6�B����@#�A�c� ��K���� O��g������J��b�k
�2
#�
?Ri�a�����_q�VB:�L}7��X W�I���v#��wS�0:f{�9x�<����1hj�xe���UGhS`VXs��)��b�o��7���� �g�!(�
;O|�cgQ!�
��a`GE��v�
�Td����L�8��-@
X����)y��y�����"��1�0��t��!
)V����s�_�=���
;��V��%�HA�F��g88��bg9�7H+
���l�{��~U�N �����.�����~A�"s
/���
�A�`��:%f���A���X�
�[�Q���^>��.�
��!9!��GY��9�<
����C�8$xsV$ xF��t�f F��f)�I �!*|�?u!o@��q.�V�"�M�`,lJLB*j1���g5MS��F^��e
�
���+W9a��v�$#��N�
!5�b�
'
'2�����@Q`���L���p"�0"���*�B
��q|�8M���Y��@[�<�
XB�@��@�H�$�/���
p�]�Gh�s���!���8�� "p�
l���%D"�jQ&@k�%�C�����"/�b<�Tx8�^�Q��U���,�Q�F8 >�
�/��!�Q`�@8�r��6u]�-��Ka�����1U:8���4!��F��V���(} �
@3^����CB���9� �g���\� s�,t�"q@ �*�qi�6����� ����6����Q�A��>�� �� ��cQ� r�0
���\
�L��%A����]!�
B�bK�1�
�����C�~��38���>x
��
�K�
8kv��v�75�
���} m�L�$xH������,�-�R�n�����8�2�i���7@�e��@zBx��LA���������8�pL��a�1����e����
�f��$��B
�}�00�2��K����(04R��P)�N �
<3K{�w�{`s�*`��p�x�@z�
��C
�+��R%�JE
�sM��#���0K�
0Zy
�.�
|7�x���l�,�.y!���}����(���R�M�"\'���
j�L"P��tq@+
,� 0p(��
p��< +
��y ]@��J Np�,T�����N!���*�������R������!ETn{��@�@�N���X!f��`��vD
��
X���G8�_
���.d��
�!���C
B/�)�KH�,�
v0�W;
�;�XAt+�a�@�i$p��:`X7�����c���
��� t�8S�H�~x�<�]I
QpEi�@3 0$�7�!0�@�Q�J!E����@r0
`+������u���!�T���)�
��L 7qL ���q� _J0.�"��w�B�.�Z��A
.�l��]���evI����������G���$)�"�
0
�
<�L)���`�P5��j3�$����
�����M8�YVn����R '�n���kQ907���.�c�F�r�7b��
;
@�`���{1�A�%P1T������FP��`�.T�H��p�
EYPF����=�J(K!h?��&e6�t�M����
���*"�$�������6
zc/�n�y
��#
���
�=��q ��U��|���)v>����$�-s}�n�
�>�g
��G��z%�/J��Q���U�
r`c� y�~
�bL*v� ���>tPP4h�����
�@��/���#��K�g�_h
����
45��L�=&v���gNL+���eN�N�d�
U7 �!!^�xh�\�/
'�[0�
`y!F���2���(|@T�
���v�� ��lV�8?� ]�;\-������4
t���6w+���~N�*�������:,�02���@���0����G
���A����x���%�Ix
@Q�l
7-����?��������w���������4���9��+ Q
�]!���dt@��7 Jbm@�JW>MWB���)���8Tj ���%^,����@r6N���%@�v:(��4����:�
`3��
:,�VY����A�b�4����xCL��*^j"8?�^D>���]�.�U���4�����L�B���
^�[��P,������ ���g1�0�
^��D�6S:
p�#g5���
���A&d��"0�yH��>$N�1h$����g?��\`'���^�
�u�m
`���.8�.��L����:(�D;�
�8
�8N� ��jBkp#���a!G�
1�
`���q
�8&)p
�r`�-C%���[`g��B���;��3��L�������6b-�T���~ �@YO������S8����
)�f��s(��qJ��h�fD��8��a=�r����6~���a�6�P��\7G8�.@z���� 40�P8��
�j��`���C ��b�"��f'�f'��4=C���*C=p(�>8H���t��a���Gv�5���@���H>��
t������E�%aA ��������10y���xaA;�/Pg�����:X"7��;�E�# ���t����
�m�hEC�����$���c\�W�yD��P������8�d���0q''�1�CK�PNe�����.������2Q�����]T��u@{,��%BP��4����^E6��q�}_:@��)��v���\��b�F!6h�O�
)�w �N���8�x��4��9(����L��K���E�u�������#��B�)��i���C�x�bj���!up�?+�=P7�pH�w��&�t!
�
��i �(�������a�]
v��Xj�<�@�J
�5�����bhV &����8�
\�:
A @eA�
���R�������2Pn�a i��b��^z)��� �<�
�%9F
sJ�)W:x���/yT�pLK��
ZC
8d�C
�)r4��5D�+�l ��+\�N���l�uB�� ���U��wH+
h���)$-���)71�� �
��T _�!?P>tsR����i�(��y%�
ZT �����y~ ���C
`!�����C%���& (O���������d|�u*�`�Q�5�"nQi'x��FU���.�4)%�_����
�F
x��
�
�|D�� ��������K� ���
�8s���$��"������
�)�X��y��
D�8����@�x>�
�M�nZ@��
��
�|�c���!��Fv6���~��Xh��$m�
2
�C5(�Ke60=��b����J��g
X~�8 J���O�������<%��4|xV`���KS�U���O�_<�3�,
0�����|�
z�r;s��O��=�]"(~PrJ�8����o�;
��
����'�JEA��l��{��t��T��A�r4`�@H@;&���/f*,�i�bCe�r�l>SA�J��� ��T��
�Z�c��$�@8B�QB�[��]�H�1�j�lr'j���CDd`�h
b,��v^@�)�1�@/�����0]�$T�@Pm\j�*���Cps�� ������P*� E0��x
,�������:G��
��4P�h�S��9�J��V@�YR�����G�("hmP [<�;� =>�
lFIS*XAH7G
8�s
D@$����r�0)<�\����g1��/�
,0���hO�
��.�S���\��
�
4�P�Hhg��B�3���!��
�<z.=(�b�,��q�K���\&9h;lvh��p��p��9��$�3�Q�.K`t���v�s�-�����W���
@1��dkC�8�,�����F
���� ��I)n
(k
y
����i;P����<���
Z��
4K�W��Q����M�3'
z���@����O������
�
��t
����$��Cj���g��=�[)H��u!b<��6�U� ��
�Az��m��9B��!�sq��m��(�u3�
x�BU�@�c���)
�
ap<!�q"������;AC`�s�-����?����"�*K@
�� �^��%���I�l`�\�
�.<�E����*��@��z`[A��w7uR�=2m�G�IzK
�s�D:�1�!�
&�h��@
`>�Eh�aF�?�.�p�p��x?�J0N��r��`5��@
^�dlR(�n�
�������^A��R!Q�$�2�z�x
����C��i�������8`�!��
���h��tx�=)�x��D���c���18%Q:��X+�(����nP���
/@��!��oA���gX<�
���/(`�N
��
����5@t��:!V
ccT�x8[P�q���@��o?�8 6��B�;�����
n
��+:��"�y��������������MG���%�
��%�lD�
�T��2��3�&8�h�P�a*q��x�h8����I*C&A @�i����N_B[M �UF 2�I�,�%�24m
;1����Z���
J�61W�
�� �.
_T=�+�: ��Q����G��x�"P��{���A�-�|�0i& ���[B��q6�H��@�)V-��:9�p�!hoC(��u��
9�='�� �TH)K���f�Y@�D�)�p�E6��
.hi��l���3
��A t�
���-�'�< @�B ��:�I7���@
"�FxN����A6�Pi]�F�;'����z.+�@�b
A=��
X��
I��<��x���\�4��`�~�
����8�W�0'<�'�-P�r����7� k����d�_@_%�����Na:��1�;�KLgBAj�. I�� ) �7R?I"�
�4v��"�����
(E�=���d����L��A��P�b
\�@z"�s,���
8)@�NBA�'�
�
�P|�R.q@J'��|(Lxi �>�<�Vp-����8���
F^�����(�?Pa����i��
*�j@;`��x�;��
C�t�{R)��2�u�HI\!��`�!�@�"��������m�=@B���O����$���;N
�z�p����
} �,�x�k��p"�p"�2PO��N��]Z� \�5�njB����QDe8D!�Oyt"B��aM!�"]���
B���I@��l�p&!} ��O�yHn���OFP?�2 �FA�rL��\p��`
R���� �H��.
���8�bN�V�Q�eh�+���_��@�(��bH�������s@Tp��6k�n$�"�Y��)hW��
E��< �d�����+�;��?�
��Si(}�3f�@=�����o>>�f
�(�l����j�F��8`%�#�Z�����'�!P�S��P�n
������b
�����j0F��-9�J����)��~�b��
��2�
dY�t���20t��S�h
�R��7���i*�a��*
�P�@����@�������?!�Rz��X�8R6A�4�N+=��B����t���w���/p< D�3���`K�+��`��pOXVN�x�t����U
� ��L�S�L
��H�(�y��
����P�bz{���R�ae>�OlG*1T��A8��>���`8�
��E��
�H�t�����#�z�)�@�*%��'pR�
�
���
`�%�J
G�x����9��3`��w�}TA�
e�wh�rU&�]�����f�`����� ,�LH��IJ����D������c��6M��t@29�
�
1v.����`^s����!#=J���V����, �~��Y�d)��:�=a�%�[�7@� M�%t�>�G��9]��C
��4��
\��A'a
� �yb� }�-�� �Mk&�B�p���y�
;|�`^���! � 9@8
��xQ��@����3�$3��* �����^��2v�
��
t}
rh�`�q��I���8_ �����
��!�H�VJF��Cn�AN� V��XO�������j0f�D@E]�
������^%7�)�`
B���������{��C3tV��b|�
2�� �pf�������s{��|0D�A����(��94�a���P���F��@��1vyBi�(�(��ECg��!0M�\�B����
�FA�@U�%��B�U���I�UD�l8��X&�#h�@@v����l�������@��-�o�H��.Xj��cgP@����`��(m�F��,��]��t[�;U�Q���4>�����b��d� L�H�N[/������h��3���P$q
��b,8+h �����EH�Z��c�Qk�_�is�+h ��\�������wC"l�"�+`�
8��s��(��$#,S
x��kV����)���
�<d�)�z6sf�
�^
�*4�
�ZR0��(�,}�Q@���(�rB�B�{��#0@K�,
�m�� �
�$�6 �
������P��f�\S��Q�%-��yC��i��������������0����m��ine(�k�t���_b�$cm
T�F)-�X�Ly4u���1�u��B`�(X2;���|�z^@��������K�<*j
��x�k���v�VFth@�`P��Y<�qi �
L+��=��u�`T
����PP�/������|0^��
�C L����>cl1X"�v������#����]�^Je�
�(�U�n�]���M@ <��+jn��VE�{�nP�K'����*�h��u
t�B�r� 1<(`�����
:���T���p�@�4I~ ����'P��BA�����sD�oX����
��b��10I�'e�Z��)����)��w��0~'
��R����M_
�=�z����:�����e8#���������#>{�
�Q�� �yn��l���t�$�AI��&W
h~�_�4���&�@@p��b
�3�<���+�A�|��,�.�NPJ�#vhC��8��pR���z<�%M�C�u��������)����K��
�'��s�GB%��q=t�^r K��
���%�%df���NL�H�2��5�M�-y ����)s ��zxB� ;�q�O���~M#���`�b����1�X
�)���8��������=:/�MA�1"D�04���G4
�/�����������4e��CK�:����J�/�m���14�j�0X)��)m�~��&�� K���`_�bPWA� ���������#���q����J�vhC'������a�w@�X���QK1m�t��� ��j"���
�e
<��]�
��d�{��J���Zp���G��t{`�
�
O
� ~DG
.�!�
�D��!"�,������J�
9��
�
�1�|������F�@�Jj��t>3�����C�L1t�E��_�����2�
�� S�b�b�s�!xW��� d
��Q�v+Fg��AD{�G
�A�h
��0N'�C�;�b(s�d�KHu)�B�Y���0iZR����%�T�Nr��h�g��+�7_ ��Qv����1�����T)�,��!qs �<�mE�������U��B�1Ev��
�}�����"��c��OP����
4o��1��vwR��"(�T��z,|�Y2
�
���~D���nI�2�d
'�����bp�x
���sPe�F�s)���^@c�n�&J��0L���������}�@���Up(lTR�
U�^A�
]��c8H�I0��D�
L4���
�8Tv}�
�A�t
Ptu�)��:��$p<�'H�n
.O�F��� �Y,!� ������S����
=������_���GJZ� �l��bz't�[/�������|�
����1��10����c �$�$��� !�@�^���lpTSh��h^q
��-
��T�Q�P������)z�����`��O�0�:���^RzY
��
�y��������3���vt��,&�q`\��2��g��������M���� 2
�����@m`R�M�.p�^�Y�&9����D1
�#]
��v:�r��H����� ������1�/
IA���A��r��~6�
�Y2���?��
�
k��1����~\!�b�g���!jT����(`�aDw6h�����is��d@�8�6m()�
K�9���������T�%�6�
��H'�
�M�'��+����#�a�
�M`i�*�1��gr
Q<������2q2���h���8� �X�LI�\����Z��H���>���u��D���b�
��Gla1xtZ06?�K���@+iCS
}�����l�g�f�3�*���|�PYA���
�-S�i��k�3����#�Ed�^:���1�������\CQ�.��b����(���.��b����5�
e
+����S�,���C�w���'�4��Q)X��)2���#
W�;�tlj��~!@!5��glE�U���#��O@I`N&�~`3�B8��$���V�8��tR�$dF�C�rs�����D�AB���
�}��"����:�?w �����PK�)�m�<�Q�x`�`
�.�� $
(�c u�a��� �|c
�g
� V1d�!V��6\YKH
}m���p��=��*KZ�c���L�X��T��x��
|
B+��;MJh#y=��I(izd���!NFH�%>����b��������L�Jq@i^
u
`!����(�\F��`r&��dB���9a��d�ds��0��<��O��w�,C�/
��df
v��FB��b�
\P:9�
�
�|�
��kh-T!`!��PoH04�`H,[��4` s�e�-�,�
��,���U"��D��� ��1�}�$^d!T���
�3,��<f2���c�@�)�D�C��
���PHp�|Z����:���:2�
\S�`��9���]���(%�b
�#�=����5�B�?�dI��zFH}�
�C� ��$����D�lc�@{��B(%&��*(I�������3���{��d�Pr�<�� ��1+��������c
*����lR
b�2@�i� ��`
���`[��%������@4f8$8�1D������@nK%E+#���B��%S��
aNV2�XA Jf3�8w6�1,�����}L��_R����y?P���] ��f�x���4�f�x<��B����*y'#@����x��@!��$�`��L$�5�h�H�Dr���9pFL���$j�q|�Z��%�[ ]/���.e��N_* /
?��8�����!=u�h��Z�!�H@ ��
�R�aiA���J���
�L�N���r������2p�e�68�8
x9
�.=������1TO��6U�,L�0)�=��z����XT���x�-��`+�����1����������)��������4���%lq�$���]�}�@���
`~:T
7
b�ZH
�L�VP
b�Bp(&�A6�����th�`TT�RB�����R����indb_�x
�����p��t ~p7�E�pl:�C��h� ��W�<i�S9��c�Z�?�
q���
���4�������pt| M�d�H���5����
���it��q�K���x&mvJB�|�"f4����v
����
I�p�_
�yP�#���,2f~' v��XK��+
��@������V
dF`h!S�J5(�)s2���
��^p)
2`�b��D�28G%C����
�������'��� �OrC����:
���|':�}`�LPg2�XF���G[:������
P��3(���H�,�#$���AH�ai���C�&�I���vY��}�9�g���Y
2��d��U��<;<L,
P2H�����T��br��u������.�pC�87d8��\K�M����
�P����������c[�o1H�Q
���3yA���� 6�����x��HC� Po���H������l�y����
8{Y�2!����A����3� ����W1��a\^��X a�A�H��c�W���
F��G4W�
�%
%%2��u$������!��)8JLgN9���Ep�r�"`]pZ�
���u�2�DC�������B @��x
��Q�%�
�n�:F�����������4���DM=������a`���@�����)�!
��A�Y(�W�v������R-�����d�����]�@�2�_��$'XR '�����I�A�f� �Jf��nVo����d�DA��^��"�$��&s/sR'
��X
0���8�Q��d��28����Ks��+ID���>�r!��oHw�b�C+E�b;aqS0��X��s�w������:%-��������*��H����OQ�� c~h]0���(�����4����.N m9��`<A��>�
\��{�'�
�51�$`����5����&�\�>C���A})&�;!#D[�C�7z�H�!�����m7�"�@��/�]�1���#r����)
"�y�<�YBl�*��gr�L01����
(&�� |�WP����Z�e�/�'D�D
PE�d���A���$bj���t�I�@� �xM_e������8c* ��$�B�&�Q��X]���^-f��2C��@<�i1���t3�=l�v
0�����A�%�
T*e%Jp�<J�>g!�b������N��
@$���G
x�PR%8�H dv����vh
S�]8;����a�z�8?���"�x#��K`"I����~��q3:�� �X�����]J�������xqdYc�a���6S%�Y�
�6�1=H�a>��`����,���F
XRea�f
�P��m���a�*�;���u
g�i�>�i�&��,B���
���';��S�C@_�� �R6�
m��k@������l����R�5��@� ����$�����
H:�q��b�#aA>��bb���^��uX�jl����
��
#�E�'��@~
����80$�f�����3n�����|x�
��]s�y`�1L
>LhS���(�����k�ma
V|.c������>����s�������?��4�c�X��I�K�1�.d��
��)����9���gH�s
��0P�M�k2
��U8�W�/�UHo�
��y ��d���h�r�
8��>��p2���p1��..��g��X'����o����C�@�����@�!C�u>, �&)��k���7���X��Kh�
������'���@
�#E��2� �.�
��r�[@9
����%��fj6�3�:J\� ���))G�V��,FP���!�6�'�q�����<Q����Ym
���(��K��H��
��
�� �M ���P���*�l����
G?��AP}v��1 �,�6����
F����*���Z
���)�!��G#�N���Q���qk
�P���$�FxLt��Sp#��BL�wI}$�]�%S�L]Bz��t�@QaNO���:
����8 ~�q� ]�
��THn���^z�����xz $�-f`�P(X3&�V��
n��C5������%�|!��vh��p�F�p0p�X�
��c�b��M���
�
p5*p�@L�w�$C�SYL a���� b����(U�I�s+Y�.�"�A����XW��(/cF4S�iTJ�#-� B���
���+�.*���
mf�_������
���B�
�;a�l��~����y�����bl /������L�dQ5������
+F�=�,xW��,��D
@���%4BF&�M�P
j�t7���;���~
�*�d������8��[@�dm�#�X$o����6
H���f,i�EL����������oC����`*n��t�Z����QaY
FU`�<HFPC�������tK�d9xuJ�"E"�
�$�R��t:����6��!��
CD$L����
O�J�8b�@��.����e��s��a|4+�1G��8��$O@ _
N 0��d^�M�C9��c���5�y�`�����SaM+�v=���
l
��Kl��e���l�cN���Xa�;4Y����#��!C�yb��@�cq
B��
���$��s3����e4j��e���k)$3(l,R.���X�
��Y��a
Md
?�
�#�� (�Q��0�DdL��i-s[�����1��:
�aaS����h
�����0�rh��F�bZC�O�
��|�
�*���0�4`
�WD4��6�<����A�
�uA�
c�
�p�cl
t��'�5(\:���%�� �el|W����A9vY</N�Ub`�N�0�1
XV �����K
b�!�W���
y�3 !�L!b@�
�<����12�F`Z���BQ��
Rb�u�B�
>� `�E�H�AH�o� 3 E�"h��L�1� C=��;�����J2&/|JU�b��1�$v�6�������z=�!�R
w4g��F41����
��w�����K���l�
�`�K�2z��Y�X|i��0�W�X�,���������Dl��}��G
���� v��P�f�,�5�
k�F,�I�)�,e������v|�l�=�������)b���bT�QLY���+�%��_�i������L�`�'�uA�9�tp�}F���"�J�
���.�|%�H�;�"���q6�:C����
l��YH�Y�G�,Bc�iwr�*����Yh�V!�?*X,����S_�cS����
�H�rI
�`
��
t��@�4���=�I����0�31��y
YA�
�DD"s8S�%��
~&l�g�)c�c���l/)�-�
r�!�
�V��Y��3�,!��T,�`K�F����s4a�&}��O$��$�A��$��*���,���@3(������eB�����HN�C!�}����y�M.����<�
�>�By jFZ��c��
`���
�0�.,1)�
W�^Rf��Hi�lu���i�����/ DV�-s�
E�:�1U���)
9�X��e����F�@��Le%�+�+`
�� �}�)�,>�����!py
�l��V!�����>6�f���)9c7�������_�����)�$U�7w
�����96�y��b�����@�jh���%����,�����<u�t��\M��C�3a�CT���(NY�/@LS�
�����< �
?�(��������h"fH2/'���,!0z���b��.���j��D�"IA�DA~eq�}�d� 04:�Xn������2'*�j��J�����TJ*z%8'�
�&ae��+���~A+s}����O��cA���
�0s�� �w�3���=ji��B@��dv��%g�S���� <
\� r�f�S��%�LTNBVi�
�;%���p��zR,��E�����q��.�~�xX����3F��B�0��aCt��8U�\&G�!4��L������G���4��j���H'�nE3��`�������Z�!D���
�� q[�+c'M���v^���$�f�A��
��7�
'���@N���=6$N����
3-
��5�M������u�H~�����:K�2
Q��~h"!���6�S�������br�g@_%�%@�+D?V�a~
i�dF�<-�K�u�R�#,I8
�\B��%
'����r ���f�5<J��B��Bi���1,�5�r��
q@������I�K�e01R�P-�K�@�FL�����b��i��S����JhV���
��=�
n���4ofvY2�������3����
�+��`m"����`i���|������p"�m�2��1.� ��:�LJ���h
d9Q`�Ai
�&D�y��e�J�:/<�vX�+sA��m8 8bP1r�j`��c_��1�"�)�~�����Y���
[�Z
�N3��S
���;�4vK����mP�-=@�6��Q,ACk=
��z]�P���.� �V��m�rK~�5d�.�*����E���D#0��Z
��3�m����&�yH����%q�,`����(u��b33����r��5��
��r��)�P�
��
�I��b=
��n ���Z��g�e>�
��E@��y�������/��H�<d�6#�p
"��o����������pX�
L�
�
��Z��.�X��fM9���������J
5 H�4t3� Ng��!sq���f�;��q����/�����N�#��f%$&�2�{uh�q���iX>�m�
s�
����
�����H��\Xa�4�@�a.�4R�1Zhs!+?2����_2������)�L�d�_��!d���e���c� ����`Jo�r��l��BX�W���$�J�l�Y�z-���3:V X���~�x�Tw�`�%��8XL0H3 T��aYyvj�i���j��?+�f���IQ1&�0����C��*
;���;���������K�RT0\A1�
��x r�c�3��T�:,S��
b��7��
��L����Q���&��a�h,=���*��A�A�A$
�C@��1���@�A(�l��2��g�W�F+|.'��$���� b�qh�
8����kUP���&�#��Jl�
����=+r�e���3�2<�E��|t��Zx�c ����AN]
���l�V�K0h�;����i+�H��*�'���A�fA#��r�1���v
h.e5�4TS7�P�7�B�T(���g`"��
��5g�m�
����i���h�,|�
�8
L_a�Qr�F�x�T`�q�H��L�'gek������x(
���b-_L7-S/f�M�
[.
��������%��A�k1�d q��* ���=\Hv����|�� ��|p
�Ap�S�LX��IMQ�J�d9�,1���\�K'�K��%,
��v��
!+S0��HHy�
-h����|��j1
����a
k�1��5X!�cU2H��1�������.��.K
�c��g���
��cJ �� �),�t�����X1fdAf`J�, Y*/N��pr0pYK����0�S���3s�
�1�*,gus�:�`�
����
�!g,��b�t���Y
>��c��|1��� �mP0���S(�IA����/T^�
� Glp������:t��~�3�[E��
`W���`ov��]��D%���s��4�1��Oe!�B1��E�X�E��T�4�0�#�63R�aq��/c�0���G�e��9,
��y�4�����HH
�
�&�����R�I��r%7PL?�$@e�����@L��l��<�DH`
[�
+�1
�qt�+�c_@%,��B�l�
/�(���%� H
X����`e����.��� %t�g\���)��g\����a��8�(� ���'w����� �rp;�#�]XD��V��!�w,q�A��$��P���" Gq�;v�"���*��EQ��.��B/�l���>�4��H�W'��� ���
�
��|�����u�U�)�]&J7�c`g%ApdE30���6���.��D������Q�C2�(b����~V���(���A����8�����9-Y@v*�k��,��:8��a����%��&W��6So)@�ty�D��x$���������m�,�
a�2�>w� �_�B
b�_����
X�c�;�Z�U�f^
+���4���#�bx������
g*`^N���
Y���a4]N��1�� I��B���z�
jB� TVv��@�A�R
���z�T�A� A�����-��� #
��j@�*
�|M������p��� Z�-JW
b�c)��"i��8P��A����U
x�z00��S���f+��2-��
$,���
�����Z�j�
d��6�L
�.���<V��;���=
����3�CA dL1{�xX�����Mc
A���k�J� xN��Gg@X�4�X2�
�:
��(���{����a���'��V��K��mf
����
�Y80MH�
����U. �����F
&e�(S��L����&��pp7��X�:=��^ �
���=�Ms���@���5X>>,��JFA�6A8�v�(C���p�@��|�M�a
1�#���?��M�j�L.�<6%�
7W��e�.������iY���\0C�%�X
�d
~��e�(��4�Y 7j��*`1��������`M� ����;yn�D������wv��0���1@,��t��,p��
g�e�0����B�I2��i��
�*���G��������b���>�
�{�{
��#�vm�"�L2��
��aCW�`�:3 `Ya*��h/��."�g�v��J�8�*��!0(
!�{|G���3���XER���I� >�6Q��C���������e&1�4P���ci3����>�),����P�3�.* u�J���@���5�5�Y������(
����XC, p��0c_����������@�
c�x ���
�A���
���8��B��"TU�C��"`�*�Y�q���N' �q����%��K�@���6ii�����
�
�2�b����e���\h� �
4��g+77�d�(���+5�c��
���3�����a������
,J�0e
[����AE5.1
K5�8��)�UV�j�G1���������0�1����[V�Tb'�hf�FT�R���`|
���������d�g�1��5^D��ObQ�\��fD�!��'
���E�A���z�HU�+�%
KCm/g���)=H9�w�l%��\RhC�e�E.|V������q��%�0� ��e;������I�6�$�����'��Xy�f`M��
�=F��c��(�D��
�K�/��!������
c�c�^�i��"R
��f�0;�u�2��QmlZP�`�Mu���s/Y!�E�N0/��6 G|zv\6��vM��?]P���p�hK}r8��M ���:�YO�Q��
���� 6c ��@�
c/-t������%�$>B�0�6��`A�CfA�g�$`p�+$$���z��R�12"�������QF��j�l�<d6�q�R\�
EL���R@Kl9��8G8������@����,��-����*�s���� �����
�&K���Pg�^�=��M�`wl��c�=(EN�UF
��3���H5�
J���BT.m4�&�������.���6 8�����(
�6�0��K�
s�r�(*����;�@���X���z��\Z���/�e��
�}%{����l
��K*����4[D���Wn�T
�
��`�ha��x%u:
X�B�%�v��.� a�N�����$( ��0��L�b
�d�5@�
�v�
%[�������
�E�R��Y�
���F@���
<A��P8zl�V��
�B�p���D`y�����#���
M�
�9��K�X�
���B��W�.3"�`�Q����%���>x��
]��=
�@ �l�!���j��q�8�����A��O��0db�
P-tY���0 ���$.�,�%��������`�����`?
s
!�m�A���D,*�?�.f�g�V���@
��gY��c�����t ���pXu��#�H�`F���)iR�����������F��x=�)�]����q��
����Y���/��3 ��-��N�\�16���:��H�7L
����j�>
�[�b!�����2TLu6q��}�Xd[��=�$���UF1��C���kx0�����
EX&'yN;]|�C<�)�'��6e�
�Um��L�/&��!���N��#-=i
SuX���_S(�
�.@�
I�CR@d�2�&Eb$�0�
��s��Do�b���G�a�;��s�B��dJv�-u���7��`n��H<���������
,�zm��rv�KJ*\�ZOBjK�=�&�����!fK�(��^I�-����q�m����M&]4�\�jH,PY�4)�5
0
��n��QNl�-�X�;
�w�r�)�K���|�
4K�1$[3�L�$����8C7��p !��������
0�cw$�[��X�� E:�$���.Y�p�z��l���L�������Z+5FG���v>&6I#\/&�
SF|��V������C��E^�sUD��
2�����s"�=�������.Q� Bs`L��Hp{N3O`�
���
�C�R���9�f���@PV#��,��d=V�e}��Lx�V�Dtg�R�%b�
��B
�B��X3)�M����l� Z��w�[��R��f)d�4(������ hY1��VR��q&�Le*���ylN��7�<�3�
V������
e�u3��������^��<7e�4�����0�J
�QD�>��TV�����8��FA�`����-�HVl����V�
m|,����P�r�
[��@2��>-(*e�9J�#niV��szd�w0
��-P��
-l���.���Y�dj����X���f���i��m �����c+z���W���s2����J��#������j� L�>�J_9-���>�">c
�i"a"�v���������f�S�T�x�*c*�*4<�Ls|Z,3��
�E,������O'��������&�SC��X��f ����!Ei4e'�X��d �
�������-E����%42�X��X"������u!���p3��
�=�b��gSN�uM���1�fw{9F�[�Z�l�����)� �=��^2��9�E�����%K
A�0���^������
a@
�V����ocq `&�����k���L�
�XB������(�BE]��� !�I��Q�!��h���!<��*IY���A�k�.��GW]��)�=��&�2*����T�����l
9���2��E����$,�3]~1�+���UqY��=V���H��8c��#P`s[�'gpY��%��Q(Eo`@�
d�4 �8�r
����(����5�B��P�\��9Ll���X�
vs12��g=z�K��zy�h��� ���
x.����2O�m���-f\&�d,��nt��1� CnE�\k�q���&3�m��'�n���lx���gy;��I�XX���6`�&L[�S��nL���tw3���Z����T���Jl����I�������N�
�d���4���f�N��n��6��wK�C��33�g�+$���C
��C����lM��R=�d���R���l��
��Jym(�(��5�hBI(�|`
8���Z���A/DA/O��zq���N������������|�R����_z4�1
4%
����]�d��*yG�C�P+�vA�.���c��\�
0�F���R������5_��'@���+Vaby ;�12��X�2����>v&`<���2�V��������f���G����QlL>���^&
_��PP����H+
�
�t��8��KP�\v6gk2� ����<�\H�����ls�����s0�\=���$�i�c�?�c������g
*��$��4�����3���oN�'��
�!S��������X��Kq>\��-l�
��rb^*�
,����+;
0
�gn���0���#�_��:gg�|`'��bm����m�e��3����8V�0
�o�
��2k��.$��ZUf}��=<P�����R[��~
_ko2On�a%!�y��k�o���c�9����]���y�~�b����I���a_m�
��9x��
D����n���)M���C=T�)�{ Bd�|G��������>F_U����U�T�����L�m��\Sk�����k�H{�_}V�\�0�iKk���k)��EX��;I��vO�������\^�T��K�������v���h�6b�mG� g(� R��
L[ZS�tU�����[6����h���~w����#�F''�W�+e����4����K
ZZ�G�O=�'(�
S}J�����G"��"�f �g���},r��!n��A�z3��mbv�������)i]z�F?��uU��&�T*��g���;�'��-g����C�U
8�p��Z��0t�p���e54�x$l7B��(�r?�����,�
a#�Ig�S��'Y2�������Ok�8����q�w��O��
oG�O��Q��� A���V\�?"'��ww?����P���8��z�Y�YJg���Z^�����Q��$d�\C�^2q�M�x����9�����_���V3����4�ISs��V�����b��I�%q���o�KCn�u�}\~���,�O$�7�[\5���(`U' ��% .$f��#����8k� ���U�j��:��7�n���t�=k�d<����m�w�8���'/E��U��qb_�f��K��]EB��T��:�5z����F��Nh`
l��o����`�?C�u& �n�H�<V ��R�����-�����v����8`rzCm�s�a��Ns5�&@F�k
)V�^�;~iQ+7Y���Z��1��x���W��qV�P�~8R3�Y
�J~{
>|$��h��Y�
5y�|�bFUJ,t\���r������5I��GY��x�&/�M��n��BT?���9������e��._��p�
�
���E B&5��[���2����4�
c�t� ����!�����+jm��G���w�EER:���|U�����S
�T7:sY����� �#�"�s�y�Cf��6@�v�D�a�z ���swu�P3�T`���MX�./��9��.�9R�Ae���B�Q�d�@:mK��,�W?T@%����I�)�S%��j�����!�e�#t��@��I���?�jS
�z���,q
?������]�")�F�����]�!f�'KP*$EC4zs�%����p���?��*
����z��C��������Y�B�o|bR<)���Q1!g��D�9%
��
��S�d[��s��z�j8���/���K����L���&�i�#��KU��ui�0�m����7Z��5�"?���E��G�p�6�<���"?��p�OjY���
eb�oJ^�S��+�l�C�D������F�H���Zm
e��q����v��T�}4�rW�~s9]��[G�p��e����< XN�*
�[a�'�B�F���bzM�e
�
F�v��rU��N���"bd)~�.I
|�4��������r�)?r�dU�%sV?�� �T��v��UuwL�}����5 I��#H�A��3
x�;+v�����
����^Nm�r�M5�8�+�2����E���5�����*�w����oMYKP
��u��V
x�<��-^��\�q
!�0W:��h��=��
?TE7�$Fgw]�
�� ��P� }j.�J��L������T��^�����!Yrqe^�L�c}&j~$��A���u��
�r��6����~\RQ�|*�<��+9�S2��xw�w�i�,Az+
B��@�J�
@���?cM�P%��n�R�k������$,��f��*TD*?��n]w
��~yUE�6��E �������4�tn��do~�s�����f\jX^2�'t,YR~Q�_�O�_YE��cv�]D��A���� }:BW���
�������Na����v
���'��@�I�uI�[���%{�]G#�+���CN���dj"5�x� �>ul�����^��9e.�^[����f�;���6�?Fx��G�:
�R�
��/h���L����j��K[!"rr]����1Zu�)�h�[�����S3�
���t����S*������) 1z �
"K�����U��z�;.���"9D�
��@q'b��J�{y���y�)�^���]�7�k��ii���#�c��o~�������E����A�6��
`K����<��rG&:�?�s���
�������V?�J�I�v7�]��R�"fs��FE���������
�<`�dZ���1�
�_yi
���R!�
\��Bv�O
����,?%���O0n�6}
6-D���c
�z�����sB RG��
�63�
���x
�]6o�E?pu�
����J���������<�s�Vp�gR�J�J���4V�\eGqK�����'��1�s'm��p��?���
j~qWS�Z*z��D�z| U�#�������
mD�����R��&]����pf�h�����?��$=��� ����mD�
�^J�/2���6[b;Xu0
t#$������b��@1.k4�p�@���t+S
��������[2z��:)-.YJ�r�G��&u���|���_ P�@��$��,��F������Pn�P(G��<�==�����\���[<|5��d��Bp�����*~�~��R�}����
��0�ZV�5��*���M����AK
����9����08���e�[J����z�+Q�}R�A�N�
���"�_�t�C��"��E��
�vY���� �nw4�5+�7m���O���`?��c�����rB���9�YD�ik���R���>��J
��G��s!P�dA���y����Yl�f��s�Y�%z����\����x�-I)"����� �q�E�5��+�^Ca��:�Dv���d�r��4Q� ����hU�q�t�%�u;WTE����q�������u��������R[��
��[!����>�:_��r���p�'��Kh4�o��n<W�T*�2dU�/�>-U�(���:A��������
�
;���v
k�#= �����r��G���
��Z�\"�����L!����}��Q�U���5BH�d�jO�dc|+�\U!��a�(���--�e�8OhQ���t� �>P,[k� ��������.����=Z���zW~pnd���
p����e0�>����-:�E1���'S�kZ�w,�_�{�!�cV�o9���9�'[zb��N�"��I�9�I����Z����0u�����i
4n����.ch�� ��t
���^�y����U�KpS�����+���h�C�_�������E�Y�x��&u�������
-^+�#�d�Uk�o �M�Su_��$�j
��z�8�
����z����T�����4[r��j�3ta�y<���t
%}�i,� ��Q��0���
�%y6K���S�����)���7mj�X6����#��
�Jq�`V{���ue'[9��&<����e������-%���m�n��Ww�|��r�u�+��4'0�6��e����s�5g '���������".�����R3��F1%�!�<�Cv��b�M�^�K�m�Pum�D{��b?���]��� a|������X�4����^�;)j���
��[�vm�]N/�*=��P]8�����+��5�UT �>�6�d�R�=�]����^
�
��4
p�\
JV;Ebp
?��d����e����,r��}�U������]N8�N�k�^UX���9��'^�����&G�@`���
��. \|n�����KX�
���S��)�� ��C%
���4p�����|W��Hj`
y���,���"�Y5^Zc�D<�g��K�j+�N3r+^A��y��1��6�
�mE#�4�����9MB0��"^#=M�(���\��'�XG
�V�{s���M������"�%u��{������F ���������u�l_��)o[V��,RNc$�|���\)��"���
��>�FJ�y�iX�p��������
�)7���K����K
p,H(^59/��`
��5R�qMX|��M�:}v���sKN��������Y��[�c�9���-������ F���)ui��+j����H�<6�
.
�&�yR����]Tk�<�+��Ojd}���<��M�JA�U�5lQt v�rz��I�����dF��k��o�����a���W��{|
@�S�$�&�S�0 LJP�CrgZ�$9z�%"(���7�n&���@y3 [�(�B���b� @����� �we
�y
!�
�r�����
�m6cj��p���k]7�����S�������/��!nb����Q����S"�
�����*����!J���'���r=�,WO7 B�B�
�����v��lR6���������^�N5n�W�_%��<���|�.�
{���h6������\�M�[+ ��qkY�����^
nF�%��/?W$K�ed}M������?��2p��l
e���O�_�bM'�cF�{$�LG��Rg���`B[��l��|����x r�O|��T1��0����`�S��q�T1t
�d�
�A\jJR
���M��c
������MH*���{�48�N1U�
��;�����>� ���C�� 5�P��_g���~� OI� �qI�!�5W������9��.5���}.��~�U��}V=����/�_Kt*��,��������s
��
�<�/��Y�X5L��hGf�����G��~,���J�'4JE:����UEl��5�i�\���(+��}|Z ���kSq��%����")�m�/s�}����l������X_��J�]Z��"�>������&
�$S]�YGj���NX�b��57��e��)�$����~:�
)�<LUeb�&����KK%��� �����$�Q�w�^���k���J(���Kr��<�1,�)
n^���8J
:��m��
���_��[@�|qq��'�=Q�j-^�|
b���\B�L�0����0h��c�-�+��'��`T��7���KU
C���� !w�,0��P����r�Z��+�[��''{5����q��vM��G�R�JG��`���������K����v��u�(u�uYq8�#����
7�;�NQ
Xw�$��PQ"]{�f7�W{����Gm�����~�s�"�A.��o����,��Z��L�m�L��
n���Yy�>cYHG�������#�`
�� ���2�\��Q7�K{$�K9������2�
l6w.���dW�\���R�BS����5/�:MQ2����=
k2Yc} L�
�
�K�5u�w��b�>�����21�o���u`��)0�y}� �Q���Ry���"���;��g���iQ��-�c���1W�D�.�[T<ME����O��VT������B��N.��/���78 2]��%��kJ}�u�z��^����/��r
(E(���f.9�v,n^����S��W���<�������;����Xt�� �#8a�'0���0�g�D� %����KSpfJ���0��B
������+��@�����>*�Gz9��8���^���7g��$3d��[U���bE�@0K��K%`�)'�hZe��x���Zn���G,e7J
v�&���ny��H��n��b�E����A<�9�^�*�|J2p�����nS�H�L�G0��s���y�N�������4�7-
�`���Rw�Vlb�V��p��M����)/�(jN����@�H� �&?6�Iw=�n������- �" ��N4�l���:a0
� ����#� �/���)uA��
��p=��1tV����m�p����B���ul��� ��/pCm9m�|�:"j������;T*Yd��N������\���:��WyI#��'�����"��j9Q�������^����*P�
��C���5���,C��p3�C(��0�V�m�o�U�@�������T�r
��� ���$u�q�T���� ���K���>�.��S�6�����B8�O)zxb*�����]YK����R;����4~�{�����p�&9gG����
�a��I��->��f�]q�� ]
��x������1�Ejw���
�{����R�]����������&+���x����T*�2��bYw���27fD��s{������:"�HJT
��{ ���8�H\�����}=�����p�
�.������3��j�\V ��N����X�Y.�'� S�L[�GM����&:&m�� � ���5���LRk��$�B�����������Z��[yCE����.��T�M��yb�������5A�i+����=L��������n��:j���}+6�[��d U�j"O��
R���v�A�[���BTu�7=��sN����T��2`����Z�T�
jr��R����t
8@�����]�#]
N�������l��e"��r�Y���O�^��n���~$���6K�����
�X��3>��������R�
�O0 �4�����t���������
�YB���N�So���e9B������]
�v�)�9%��:z����gC�u'�����$�|m=GH���� �d�J��7M�������8�-9��5Rq2�aHv^�_^�D�7)i�A�\��������O S�
���Tg��^?v���
��rfxR��z��qO9���������*t�G�^�+g�30He��:�r�)���J�/}<�GF������A\�%W��
v� �
���
��;tr���#�y#�0������"����J�L�z�(lk��k��;
�j����Qw�d�TG��@WX^?���KZ�r:]A���4��
F�f�1l�@��Q�_.�
"�V���������q"5E'��J\�{�)Z���&����TnR<�R��"K�!�0��q�@�5'�5�0���o'z���I���
De�pQw���|4M�<����X�UR�hC�c`+>����aD%��v,���_�z�����
�$�$
�)]�
��SmHR�t�J&d��&��!�n�=
I�
����q�Z���[
���"6% '�A
3.D�����c|�r�k����R�21�}S���@/ ���q'jP��r]qrJ�d)��/��*9��G9H�Gr�>�,
�b^�.=-�u�
C�
pk3���z/.��)�^���o.w��=�&o��
��_�l!5� �@F��e�[� 7 �Zp"�����]T\�
=b
�X�N��I�
��hi��#�c_����NQ������T�V�����7
��vhm�$�Dr��
���^��C��mOO�_�4n =v����� aSn�td��m�7�
��h�����R5��~�Q�`�{
�~)=�*13�-��k�!O$/�;��6u:�n���Lx�Ur��R.J:��dZU
I�
B�[z���H����5 ���A��������m���9]�2T�A#:��\ [��4\
.Yz����%7j�)^#��J���\�RS�"f�n�BY������J'������
B5D~��cms�P��E��U���nO����t�3om+/���J�v�����O�mD�g�F1�$������UNVHoP���Lz?YD
���E���D("e��xkP,����`���/��>:S�b~3�3���o��8g[��I��N�z��3�
8�Y��|�{]CJ����
[�7R����F)u��T�
�����L��b
�
J%��A.T��#'�e�O!�G����u��shR���w��5�{���K��j�:�:�������4���]���i�f9kv�m���e��"I�l�5�yu$�Sz�*�3����*De~��y�Y��t�I!5�nk�%m%w9��|�e�
3I������J(��d����G"�Sh
%�t����;��������T]�m���4/$G(aR�
7�2���k;I����
����� �H��,�������~�����.���W��r*�[��!��N���4�T�������\:�SV)�A��U�E�O%gy;z�kbX?�A����=P����U������� ��}?rI�*��}e�:��i����P=�(S7�����:+1I�Ik
������^����*
�h��j6��>N�U��y/W$�d���h?��$-�
�� tWp ����\�3��u�d����+���O����e�P���]F%��C,i-�����_�4�
����MX]~�
*����O� ������@�L�.JM�K�lrg�%��#�����&x���"j.�C f��jm������Tw�� g�K�xv+H���/�������k{�3�)Xn���Y�A���Og�S*eO
Q��T`���b�R�ve=r��AX+j�Fu�;��r�|�������KwQ'5�[(��\fa�4H����;��
�%����j���� �B���So��)�%��@~��_Q�nA�������
,l��!$�q���L�<.��T��x.uu��JJ�Z������(����u������ M���},�����k6@i*'�l�t��[oc*: _�o������tL}�r�����A�Q�I!uE�.*pc8q�p�fX��r-�k�jq�h�'��*N�C~�B��'���%���R�J�$K����
��*m�d��p�{����2S���v��K�M��>"�~`8�;�9�H@�nge��X�tJ��k��r��\y
�?{y��d!��3g�oq��� ��}l�M���
U�9CR������������&����l(������
�C�\��I�_(��{��\,7�����#] ��c���J{R
B=��1L�H�~��z��
��\^�������5v�q;Z�d�r���lc0#e�"���!����AZ�T�!������
��o
Mb�%��k��r�?��m
���)����� �������x���YU>�8v���A
�GL��u�H���+��~�����H2�
�n��p���u)���&� ������B�������d1P;U��IM�.[Dtf��$/�t�w/����58���2\����nE�7~vr�x��=�G�� ���t�s��e{��=������{}�w�� � ��
R�����Q(�3��EE�[���R����������������E�$�>��q�����0C���v�{p�)�1�a�y�#0
^���T����_�k����'�(OL��pe��uyOG��z�dwXO+�U���#$�j�v���
��[^kX��>�7$U�
]�
xL����`�� �������*NU`��� ��r�sTR���@�����W5 ���8�@Q� �= ����Y��d����/�
t��B���,�X��T�DN��#�&E&CP�[K^�B��N$�]��9%Pi"����~ /�&T� 4��m������C�0��AI���
��M
�m>#��G4��T�7�2*1����6
b*�����Q�#B�Z������������L<��}T����(�r���-�T
(���~d��0V�v��}k����I
�����-�S=z��'�(k@���]���o�A6��l}}��?���Oqk���cY@IW�>
�&��K�+u�x�Y
rrs@_
���[C��
�4,j�^�=��r���NT�����^k�Yq
g�����@�`8����Xd�d���������
����s
���
+�R�<��V�:4���P��g��*��:�g�������Yn;<����HT��������q�4��t�g+�6>� E�\��@P-.��$�G��U��i�����P��e$3z�����
{�E�����S��
;_����=dJ;�P4���&�;%����������r�b@0|Hc���n�@'AE��1Qm|�T�!(c7�\�M����u�Pu`E0xu�D%�A���U�t����(�Cn�O�����m�m
��"uaV����|\�������
������
�
D������=��2�.���U
+��� Jq�,�5E��R�"��]�|.����v��:�
O�>��/��������d�e �������#o�
\���c���3i��s�u�$�2u����
�2/�z�����|�2�����B���)�n�����A_]�R��
�# �;- ��<w�
�t,�8�w��R�s���T�F6������S&W�x��5�:\�����6���-X�m��l�U6��9�'���?����K���\l���Z@�����g�
�����t�n�N>���H�Q��w���p�9�S�� H�q!:���N@�f$�L�����D@��[�{�zD�2iv.����-�;���������g���umEC�G��04d�����w_�s��_r�[I��5o�����f��3OY
�;���T9Ej�*�^u\q���������,�_�L����Fx��}���P�
�l�E��>��A�P��k��P�����"
��
N�p������)!�^�.-MS��sZ!�_��d��% �����Mk��c���N�����f��A��x9Jj[�uq�*(����Nw�%
;�1�L�Ki�AE���-.�.�i�����+�%u����n1*�� SC�nuD^N��t�pI
�������b��8�|C����r�����cx/�+��ko^��������M��Tw�#�
�:a��
N�AWqzy��z[
_�����>�'��q�e�]�I�]�����;�j���9Y\�f-�`�q�.�Q��I���;)Y�/Q&�.t�j�t�,8rqR56'�����r����;��"������X����tj9��7 V$�s�T0������>���/k6;�$�e���I`W���c\6=�%.=<�'���!:Y������Qw�����t2$�Ry�Z
H�7]���J�;��Wq���t�8���Fy�[1�i�*L��������u .�r��N�%�������#_�v�7�d_���D���.D���"8�n������yFt�#Zh���6�����������q '�p�]0pb+���
���q<�6�c���Df���N��D�
�YO�����fe��o���@��n�B0����9������XZ/
UD���w�HM{t#�����f��G_�mJ|]T�����k�������:�P����XQU�qwY��V�4e��x�����#{�U�[J����u��J6{ �j������j��
��7��2N��G���mIG�����H�
�V�U%kW3��9
Pk] ����w����s���FQ�1���+
�
�@�=myj�@����t�TR���\/G���)�z����b�\������3��\\
)���`�+����00�����U�c2�z�������J��]�#d�����b�S����
�` H��8MRM����[�,�4�pU�^G8��Q]a;��kT�A��(��M�jId��u��
�'�%������igQ�
\����W �u���l7*�Y��������
gq�������{����E� g���B����<o����=��<���V�"�� 7��)��v��z�i�&�? M���[�B�;�)�rw���d�N��D!�O����o�s���<��\�e9G�<�K/uj������8R�=��Je�g�[\�VWM��3������
9����[>�
g�1�)E0�����$�#W��;���x?
Qi���x<OvMp�\N�$��tP�5�*������!U�v,Df.��w-+���%p�I�[I#�����<wG�;�Q#d�����z��8����t)���pmZ�s{��D�s������F��������n"��<�`&G��\y�� �.P�^��B�:��
.E��Q�I����e4�::*���+���r���"��
Qo��1g�QZ�P
=��
���WZ���Z��i}��5}zK��1��n� �y�J2�"���tnj�
(\j!��{�K l�
Y�
��y"���c�
t}qB�K���1��sO����
�p����F����]�P��hmR�kB;����+��3HO��X�0��
�-��� iSz�,
�5��Y}W2�qK�
�
��r�DW����$>�/�H�iQb�$��Nx.De4�$$*�O*
3������"{��A�]�����uu+U�O++��
:G��"K
�Qe����\��7�����X�Q)�d89���'�Np�(�iBwo��
�[���Ri��S_�:KaI�>"��O>�OQ�
�
U��= *k��������C��9j�)�*���d�
2��Ah�I�d�c&kr;PvU#_�5I�6��>>�^R[�b��0=
�y�C�@P���/H��x�4��������=���U����B��fDS�H5
�<�C��)�i /�U�I����4
\ !"U2|�����AP��C��� ~E��~����c��_f�3K�� �5�1��`L<��&l����/�A�Uz/g�����zS6��e!��l'������8!Tq[CSy���V�����m
*Cx)��N�����j����@^KGE50bP(<IZ9���QW���w������������v���h-Ve�*k��R+�hk��<��U:E.�X����>S<��]� ���Pj��K�q��n
|��*
mjs��[E�x�U��l��\��
��f�n�S
��aO�>�.w���j`�)v
���=�MFS W
���%�H?x���=��Ee��&��U���>>y������G�������#����w��C�VM����@�u�q�a�a����"+i��Ua5�T���W��=�-����*u��u��@n \�����R�����o
/@^j;��F�7!\
P�
n��=��ur��Z�7wh��
����Y�UA
+�^�� m�������w)�����>\�6q��)8<.�h
uD��7: � VI���O��8�x����{�w�>;������*� ��P�g(9i�"�
m�?���T{x,���(��x�lW�5*S�8'?������ze\aN����J�s)=�
<��.^�������!��=��/�����
�W#��~���)+j,}R���+����5�b~��t@��f����
��-�'���+�*&r�(��p���KQF5|�9����8
������lH�{9Y���g�u*WVs_7m
���zE���
3���~��L�I���-b�������jd�����;��3�K#��[�������#����0!���`�����(�,(�
����/�\ZB��%��[�#^5W<��/�
�Z/+o����[������R
��cP���6�"rW��c�)���*�C
�����d����n�s5��vQ��*�GM�kB�Zc9v{9g�HGTR����W%Ei
q���
�
�$��myK�+wK�9x��� m�S��\�����K����@9#���
ZP2��
t"�V�LO����;��;�]�a���S����EuI9���L���z�s��u
w��4����h�1�s�����t��l��-:�NB�����Lc���w�h]��:�
���N��!.��*H��t���}^
gy��{Q�+
��^q4��
�
1����w�67���'�/i���ujm���"�&����BE�"=��L�>�yAn�����
�=��������2D�d-i^�����Z���{���Z�/����O����u��fu
�[9E��7h���V4T,Gik
��:�%EX�M�'��Ga7[�.�-7�����
��I�T%gm���T��M8}���m�~"�m���?
(�|����!C�eJV�������
�I��d [�J,��J*$����$Q�[
�Z��T�d����_j<*0�}�2�c�\�l����g�������`R=F��=5����d}
��jPo��;R[v���k�X
y���j�z([�+����V���Z�'e��>��nj��
�{1R�x�T��};pM�����%_9Mx}���
t�*x-J��p:����<_�dr�_��
��3��S~~c��u���U�����j���_�NI�.H��$��#�C����W�����_=�����������]�)��&��������toh,������F0�m�����S��K93���R�N������P��jaOB�\%�@O���IQ�We��������]E[3��f�4eG����� �>�l����*���1AK�;(�]� �|�BL���
��A[�3F,i������K��%cN����,i
��R�N�\_j&9��dw�+�\����Nl{y��w���z����U�-�Y����8����<�s,�y�{���T����F;���Z�"����<�o�
#����[�D!
E�d��]�qD4U{����b+{�Ki�{�C6�0�^D��d-��]7y��5����XU�~S���2���S'����Q� ���~RW��v'�
������+�5%�Tl;
"�I6�����$��J��6>}����8TOOm�
d �N)��_R3����4:���
�*^:��<�ov���n���JW6|��%L
"8��H.�b�����Rn�A�l���y�+65�V���tK��`v
�c
W=�����n a�kLM���� ��n�� ��d2�
G!\d?_y(_��������/����O[�,8n�U��jK0K�|>��
'��xp
?w���'�M
��;7�~��]�;)�L�T.��<������8)�]��������`��[LI<"
=��o�Y�l�S|�]D�y�������4st/�i��)�D�|A[���ht�������\�s���
����Bm~���3����d����Ql���#� 7���`3��
9F�"=Y#<9���Q�j������7��.�v�CUp�H��
8�����[T?��%K���L��<
GB'�rEJ���MZ��O*g��QIL�/�4
��u�$�8�l��2��\*Yg80�KTx�������z��E[=)�Vc�Gi����L*+*��<D�|��
{����A�M�l@�G������R�
��4}�}?V�������Dh�|����n��hY�;���6�V�r5��������p����B����}*"��_o����1�K�U�R
�h"�W����=�9�/�MeZ�:�>�47��8�����
�K������L�T����Px9�TS9��=l����-�/db�Af���`��8�W�w=��O�
��+}��K�K��\���jc<
=����kn�dG���H���[��5R�z��Q
��W?�C�-�F'"��A�A���|1�t�QqY/��pg�����.��4`O����`-�|��P�}�G$�<�b�IK@]��8��|����bU[r���i���� _�=�8����_\:��f��
��
��5xuu��Qf����������T�����f�y
FO
��
����*7�w��U �!��� ���c)�4��u��S��
R Q�����Y=���=�
�c�`�5��P��)���l�RwU�H#��-�
.#�(������Z )�$�C�8����Z�s��z�Iw���
{D�U�����g��"�H{m�<��l$�`�' (Lk i� ~Y�J;y
�0+q�������
��2f;[w�
�-QX����}Q�3]��s��K�CO����������!U�r��=)�T���,4�@)5�}�N���0��{�S���A�
>����rAog���M�krJ%�V�!����$B5�^J��Gm��~r[a�G����P����*(A �'{��X����t�P��>���7�^*�R���WU��p�<"�Y��J��
$`O�syM/h�j����[��Z����Fv���������i�����"!��8�������}�o���U�"?��S
�����w�����k
E~S
�od(�-
Q�rkTi�(�s�uy�{������P��������������W���2����]��qv��������n�yx�����m���x����3x��S�j���6���r�r�/�}
�.EE�D+h�T��n���>�%�WK
%��w�Ei��!�(����7����9��a[�$�#������t�nWI�7].����|lE��Z;��/�G����[��$�hv
�H�G����]�y����l^l���_W���1���p�c
W��f1�k��-+<e�����'~Q���E���A��zx�."u4��R�����?-5-�hW�Qa i�zS04�U#�V���a����/ /�9+��(�Dts3�a
�q�r���]}�\2�Z��c���E���r��
I��:�O������|]����&�.��
�qq����^����(R����l��%Z����� #��/�����Z�#����G+66�
�)K�=3A���ii�nG���at��_���rIK�9�A$n���\cWT�}����zk��}9)��z�`CSoQwe*;u�p�ox���r�t
(�u��f����(S�RS�e�`n,��:���^�
�y|��7���/`Uf��n����Gm�����o����g��s��X�����K)�E�����'�r.�����j�c��� *!$z�I_����K
]q���#�����I,��.w�,_$@7��t��P����[+�G� >�g��L�
EH���t
R�D�z�7.{3��MeU�U)�m�)��R���8c�?�c�+�@�2<����BUw
�W�����P��e���=��6A��:�'(��w�f_�]2������\����������
C�IA���t�9��&6��#��DuHF�:�� ��-���b4Z�q��:w)E���a��'�MAAD���/���mY!tG�[�H�������{����.������>�m��;�����
�������Y���&���T�&���� u�R����E��m��3�@���:��R���B��T���)�Z�a��6m�I;O+J�]dE��
vt ���n���P�����u��J�,���[.�>h�3��Q>X�(�@D�q:F-D=��e��g�jS\V��"���@)�������z??G���1���yG$^7����\4��Hv����]�j����a_q0����}�/.����x����Rqi"F���lOG%�H-�3�V��T�(��u�&���Cr�:�"EJ����2����%K���A�4�S�ZH9-�T��
w����a�(�c���^����%��S���
0]�����c���25�|�OD�����?����v� F�J&e���\b@�
I�YK����
�H��T���c�d���s��UMP�~��|���@�~�����
����LvB:��������f�W��guAY
����c�����{�����n9�d�j9�������m��#����5M�Go��
��O-���d��\x�nvWu; U��~Y�J,�.����J����Gh��wh������(T����p� MS7V�M�
%@��Q����R�OM�h�=��n
����\��o���t7QT]e��4��Q�O�3�?�&�R.�V��Dt��}��������6��#�A1���
Q^�QI����(��k��g�<�99���� g�O��]]����'��
�e�������
:-�&~.Wl�>wL��Zg<wj����&4��(�s���<���MV=&8����q�,������M����I
���
�x�Z�����G����������D`*�[x����}n��
e�C�P�2���d��������%x�D�3o��f����O���!�*��$��Aw=��<�%3���!���Q
aK���OJ�����Q�@�FKE�[uu~�j�]}�������O<~t9R�����
�vU��,�V��$�Vz/^��
�`�[�T�V}���rk�������A�����l�k�c�u�(���
��O>��� ���`i�;�pJV�t�t*9j��0�j�3�����������R��7Lf�b���^/�C�����5���
G��J*����q?��t���� �c
7.��@i�R���G��,��z���l&+y�gw( �LG
��^��>�ls��)r^���k�A^b��/Q��F��i��Er(��<�x�W�g</�I8]�d1_����t�����j(+��
�
V�f����^��8'�O�tM�^=����.�<�4U��=y?f�6�T
Ijii�eG�����!�,�=��m)�E��4�z�,��N����s ��������{����Cr�VW�.��MDJq����9gtCn��-P��<���R
����e��$*�K+��6R|/3��
,6��w���).7Jt�&Wem�����l:F�<l�*%��w���t*Vt
%9u�E��� <����{6� �x�����?��
+e��q#���l�4��N�s$���Mn�>[3B���#<�K-+
DF[�'���r���3���2� �h�&}���
������������A��g��xc���.�������q`gRf��i����E K(����Ek�I�Bv�-e�:��������P]H�h#~�~2�<VK�<� a���GI�tO�Sk l9���y���D�+�@�7� IR �d�����Yu�#�P<��[�c%���*�."�K}���v�R���
�'$�q��.k
������
j�
Ew�����2�
�\UU8o�� ��|��7j"�IY��Ty%*�8@�8;>\�2��� N���.W
�3��0�p�W���������-6*l���d��&m�Pb�X�3�:�!�����r5�EE�*^�]�a��C:+zOp������]J� ��Zx]r�$_���\�K
�a�
J��H<l�
�����)-��"y3��y �5��U���
8���M��
���W]h���#4_�f��KM��0��v[.
D�/v�\���}�A
���
�u�Z��\
� ��8�?�
Iz3&
��Xr�
;��t���������&~�<�B`��+z�r�z�C1hm7^�Q��]6���TY���4��[����h�I�b������j�E�O(s���Z'��x �A�05�wk!�3 ��Azuj�
��K
mkm���)���r2��g�ym��(5�J���6����Ci��z����cm�� 'S|�y�OXz7����p���t�z�QD�u]�w<��wWe�xW�����]�����X��QI��,��
�����
�o���|�;K��vE�g��H�����<���������9K}��*����;/��!�����Y������
���MgO�@�U
����2,���^
��K��� ����[c��0������S�.����y��f��*�J���&����,8"�5��I��������4���� ���VK_�sy��5�J��]=��[���
�V�M��y������D"�
WA�ln&^����}�[�k�������
��t��8qK���^Q
I&U�-��p�����Ad��k�~�����IS��YJom|��9�~hkBBS���JW���L�J��53P�M���nUN��7�6/
Y�N�g��Uw���v
�W� a��
F.�0���Ki�
�[L2���|>J���<TOP*{��K�����%�8h�SR.zJ��O;���[��G)���U��tJB��!���������e��t�MJ�*�{;T�����l�M������HVI�B��'��3
�r�(JBD�8�4i:���{�`�UoA/w8��U^&Zf���C�0
�,���uj�I{�>M�r�m��#��W��T~�8����L0K�45S��wU�B��&�UN$��=��G����~�T#���p���h������=G��J��L��/4*��'r�E U��)t���_�I
�
��N��w�R����le���`�I^�>#�2��K���U#��l����~s�6�~�7p��w'�_
�J[�(?�y�mW�����u3�����}>�mS�����9
4�����yB��$�����9>o��F�
I��K(M�
���j�������r6o�[����7I�*y�.�3:[nZ�v#�L���-5�C ��~F
��px�����&�R����#��
�7/�"����
ex
�)��
5���_O��,�k���V@���B���t�rp���:������I�4��I7�(��$Y��*����-P���25����8��������
$��x0����NN��d�B�&�
��+j5G��<�+�����'[2&��+��_9WV��v]U����4,����%$�+xb�,���
R�I]��dj�s�'/�����}�L����7���� ����r�R�yNC8��D��
����
�����n2�
���O�q�����*
�"���6�>|�G,X
�w��.��BV/���b�$��bo-��|9�>
���@.
�hQ�*R��;d��k�1��F��d��p�=���<���C�5����>�SVL�.��mW*8��D�����
�c����i
�%}����s�����]�Ms��CwK��
Njf� �n�$����V
����h��L����
���a��ZVQ�\_����~�q?���^
�e1S��
�N�K�[��=%M��\��� �� hm��^�#�
�).�j�*F��{�
%�F��hg�8��������
�������0�FbXT��4�4S�BDI
*���]�&��Q~_��D��2��&�������g����
���$!~����};�3�*��~8~�����>��P)�K�9j�'��
W� -&���*�����-�
0j;I/�q_�x���&���J3�U@����}l=�������q;\]v���(|N�OC�'s�N�35!�qx����m)�+�k�]*�|�0�j�&@�l0�Y������z3 ��T$��[.�G�����
ABy�~l#�|�K[
��$���=��x
�i� �[�"��R��
���G��8u��/�tZ�+�f��EYYO�|����J%(B�y���N5� ��Wb��b�F�
z�YR�'1�#P5@{Z;�)�Q�q�����np��
.#�,g������������� "�0�
l��i��y�pJC�/�W$�K�T ��R4�[n�N�G�$W��/���s��%��Q�#��U������
��LN�8��2!�����7�!~�2I�9[�Z��< �O$����3z-/��~����)����Q�
q�yKz��T��V������MH�3;��Su��T.WzW�!(YfL�@�7��� &S�
xEi�!�������M���
�����cz�H\���)�c=;�o~�
%�k�q��r�+2rU��.�cxK-
*8P��Rn��t���Go�J
�������1h
� z�����Q�VI�V.��L�T���-g�B�Et����~��(t]9��)r���5Y���4����?��~�n��[K
2��`��/k�38�
���H�t ���_��>���0�6Y~�nG�J�X�'�*-�Ws� z\@���p�������n��D�3H
NTKj��$i�qX4� �;ZQ�FN�c�|nE
5r�:E)��l��eY!U�~��.#�r+M��}�s�~���l����'H
6j�k�����3�{�'+*��B��Hz�I�AkN54����k���F4\�b.�[�7��k7 �5)����-�"[qhZWI��Y:e_j��z
���
(�(j�������n�����P�7i��:��A^tQ&��XxR�X�M��/�
������#uGP������W��p���N��y?���P �.�{���F*g�+}���gi�I��Yl�V]����J�*����li�F�qN�a�]�['�t}j�N��y�rU8�Tr%�U���GZ��d�>���#�
�A���}6��9
KJuIR�+S�9L�q!!����oPfyS�|U��@'e{
,"#uveD������h$?�U���R
s�r{o���3������kPlK#
�E4\�$������
��P��RgX��c\���8���EF��"�3\�|���jlP]�
�o~���v
������ DEZP�R�t����P��/&q�� 9J[fE� �c;n�nY�m��
��1_e��MA��48��L9�B]"�|��y�
?n��N|���W�P����N`[��,����t5�_?�0R>�<�Zi��cg��Q��,�m�������S_Z�vr
�X���
}j��r�|e�*����g^�0���P��{�<����
����u�x�F�aqt��y
��?��8�2�hR;U���8
�g�V��������
���(��=
�D}��(��Zx
|��Rt�T�;K�I�C��QD��$z��_���::��4sT
ei����e�w��
wLL�z�
w��rU���]e+>=�
<��tPu�=
m��j��k����OFEW���b�3(H�`�MV�_��WO���5
���-�07��
������m��D�������:z8s��js8�V�u�1rSgG����nkR
��q�r�8�������O�8��M�I�Jq� ".a�Q��v�9`����+}�p'�����5�f����6�����A�w]Q�T���c�������c��h�(�_���V�}��=�'��X���
�(M�?��Q��\���>�����T�X7�[���5Y�U���
h;����.��C��w�
��9;~�u�����T0��3m��*9�BQc��N���Z+�$B��(�u�{Wj��^�S�g������IwHJ���������c������Z�M#��: �}���c�q����H\�J�9� ��V��@�P�|�{��
��8����� �|��t=rWn�w9�A����Q���s�����4�$���~����O�����������7���������0���C)����1����S��E)L����0>m�i����-
����}�d� �qUn��QjG��C����r(
����
B��� 8�� N�GT���}�M����G�PV!
��7���|f�\*"�B�@�����Lo���}S����:V��h�?��J�J�x���n�0�w�O7����
�Ul���HE>�p��Iv�t!�km!�$-��rn�d����<6�e[W
g�aHj&/Z�w�p
�
�
��(\>rc. �
�r�[�eR��B�`p����)��O�s��W��O�sP�e�����~������X��PR>�qU-~���"f�v��
���In��0zl�W���'��@�
�2��� �T��*�����D�[��b)��\�{�g������"�W>%�\%.�3��[?R�0��"�.��)
���q4���������-�y�dQyv�%��~6�=~���M
�0e�>ls��8/�'
!���0
p�9�����D��fX�����mb���������-7�3�]������78uQ��q<�
E������ �v���:/S"��
�%��s0���.�)K�r�;��*����aQ�Hr�9w-
.u��cDP�����j��������Q��� YS
���D��u����M�3&�ts��������A�D5[��s���VPY���/EyW#��W/��([m�0!��
}���
s�����3��Tw��,�O��e}w`�,������
�����N����@�9q��S1�o)-���9!���"�<%v3=��yQNd
���o��F��%�h�hd�2���d&�B��-I�J�=���M�+���=�[y�x�W5��$I��
-4W�Pu�����n��IM��������V�PX����L�L���Dk*����?I�%�B-F�r���c�Ub8n�r��cZD�uy�54u�[ck
��t~����k;���d&
�.To�.��(���OVM�W����'��4�D���LsG��@F�b�R���T{����U��M~�\v3�"��Fty���[a���F�8��2�=�����������3U:9^5zQ�&��@�G���Ae�u��}S�HD���o�K��c�K�8 z����C��{�Z@�vxz�������k��:��]��iDt~n�Fu��� :>����}���O��e�����}�����J�h Y$v}������P��:};�S{Y����*_�u���g
�K)tO
���J�H��z�����G{ZI/����E�y8�O�*?@�$�>�F���<B"DM]�K���cBH��� �h���gpg�)�n������?���&^�F$E ������T����6KN����P��
Y�r��/X�d�!��J_H���v��X8�bR��G�V~������=�K���:�t��������I���?Q0��C�"z��# =3��A��4AY`#��4�H������dQ�:����&�;p�a+���$���ksp�(cA���J{����.���4�J�����3����3
����X�
�OUj.Nz{����,
����\I�������u��#j�
����"���
�cr����D�+g���B���~������]�p�B������uJ��((���G��s�V>�X-\������ �WkdES(���R]����*�[�)\�{���]&�-�Q�|M ��t:��We�(<~��U���C#��]�����
E(���
Xs����|
�Rq'�
�3��N
����~�
�x��n�(3�.el
Kh������}�rr^��&r���o��+��������� w
�����v<�GyJS����.B�S@U���Gy���A����Y�D����r~\v�#H����N����!E��F�6��Dh*��������O%L;|��F�\Y����`�
pn��u"��&�W�m������R�a+�ZJq��ND]�X��W���7�D��Nax{*C��6�M���l���QK��H��PQG�5�&�c���9TMM@.mu��S�
9%�P��Q2��t��bLm(�c�s��`�������}�=r^�^#������Z�,����t��(�Q�]�z��TQ/�
e��W��b�!5������1|�y���%���� `��y|���q�!e�K,v�'L��� ��m$�o��m|�6�
�����.�&o�m�<\<�����;�������[�5X�����j������������"��-.AVq�b��c���(:�<!3&�R��I�
��*DY���x�����l����Q����*K�#|t3H�m���y`����k|�
��) ����3<��!�k�9�%�������$���������U3R� ����tM��F���A|�_R��j|�O��w4G�[��1�Y�h�� �4��Jh���z�P��$T����l��S�^l+(^��
��\��Dz$<�s�T�A}zT�$0S ���.�i�p�jJ�' S�E����n�[s)�'+<�����bL���0�~X|:�>m�8t?�[{D������\�k2)�)J��k� �4�bx����F�t]���Q�NCrI�^|�v� ��*��������� l&'p����.�Td&���;������V�
������H��&.W�Iqj�L�R/��^��A���-GG��%i�B9I)��
��*�$yLr�����^��5�
�����!�
$�um��. F�����������e���f���z���N�Y����
c��K�`!�
p%�5�h�1nO�
'&��Q�sI*��E�'kC���q�:�E�9_�[�p7��<��
8��$F������ R+l���}quc�y�����YK*$��rU{;�������*�U]�5����{��`�r*���?�G�r�8l�b)�JR
�����Se�����C@R���*�x�Av����+���F�W��xR)-
Oa
��9����/I-����k'��J�������c��Ov����[<C�+�;�������u8Z��C1LIpi4'�fG��m�[�
�%�f�.�5�&J��$O��8�����<t��
��������
����ql�����n��*DO
!�l
��W��t���������
�l ���g�q��a:��t�E�V�<y�)��o�JUe
��n�]S ���J�E}?�s.�[����S�!z��!�9������
�*�o��4C� �c
=
UB8KAQ�����VS�p�I�����c
���6U�,RJ�e�@��)%�W�A����<��J��T����(M]���%�Jh���i��J��C�PK
��$�Y/)�D�TI4�^���&;3��B�������|��<�p�����y[�����������p�c7
�K����'���A"]=��w��(��q��
$q����q�B��U�������N���=�
�-���U ����������+
q�e��B��&�@�*�k�V�]����>+E�H����h��������
�
P��P*>�h�-���];$
`�����G������b��ZnJ.P�V�
�S�f����(�������������%
*Y�2"_�C<%O��|
Q����EY/��*��������%`D��#��jCV��|:W������yJ�������Z��&�d����^�!��TI�Ir�S����M�����3�����A�T�.���T�����q���=Y9�T +�
_��\ ���K�Wm�'��w
� Wm��8:~�p���
���
��=!{r�����@>J��|k�}�����} ���r���@��V*/W���|i�)g��q�!��-�"���DF�:���6Q*Q�@p��7��39 ����YC�[��t�euK�qk�������� ���(����3O+�����Q�����[��4p��(.�R���j�{W�_yJ0�
WN
�C������S�������e�����Y���b$0���YO�
��~��n��5�{\
����
^*H"�-��
���
���V�A
D�����^��JE]��e��:x|
�`�
���CHR@U��>��{y�>"
��EF�+)*�L����QPR������T�w�$�g��
wT���� V��t�s}Ilq�2^�������;�D'��;���.�
]�B������d��kg���
/���e�B�2YG^ncl��T��1��������t��J�s����(�@�1�`�F��������>QU'y�d��� �[��U`W���:o�������>�YT
�
:80���y����(�\�*�v�W��fVjX� �`sm$�X�[�g��h>3�Z
UM�ZM�
0�J�{Dw���x��'��n�Gl~�|����{��f�'�}��:��H��4)��ye�3�<k�u��A�H�S+M/��U��Xs�-��Vg �k�&�7eQ��
�^
X�I �M]���
��(J:���
5(Wi�dEj�K�5���M�\J�L��E������sq�dZ.�����7j�Z�$r���6S��:s�q�v�[�]����
��8�\���Z�^�����|�E��\%�f��2r;�!�=��p���������
F4jy9�l����g�`x�<F�j����O2"8V�rx�FS�N ��2>
.��z�f�8� �!��3����Z >d
�{�Z�
��u�p������B��s���juH��@��"�����t���8dY�?����>vy���w��0�A%�BQ�&���rV.9������z
9��0�R�
|� ���;�$H�$,�S���B UO
��9������-k�;���l�(�[�Tm�����t��:@��r��(#���u$��;���E�]9=���7��WA���l�������R��A����Q^���8�Z�*����i�b6X�q��{
[��P���d*��������M��b�%�d��qp=�
�Zk�{����Y��vG��6a��]���������~c�vW��%M
�(�9�
W��� p��s���
W./Z%+��0S-X���}$U���#&�V#��|����
3��t��g.%�8������=B����\��
7�(�;��;b�'M<�� ����Nn��s}�k�WOt��)��]�}��7�����(�-K���3����z6��PC��
q�[T��
�l�s�H#
�"�8�� ��6�^
��1W�� l=�M���k�Yh�k��9��F�PB(��50�J�0��G����|{�%��x%�m��[=H��Vd~�
�3T����H�=)c=�n��
>�k8��2���r|�A
'��e��K/Aq�V�X&-��
�rD�g�_���������uaQ��Rr�*4�n�>�3����r:�4�l���;�F�S
����}����(��S��x��Y��
#\�O�<��"�N����o�V\�:MW�U��,a��V�����e|p�� wG�����T>��
�t���
�m���LRn��aqw��@�M�����D����E��_��T&��
�5����I���r�/������#����[u�6��p*����>z,)m?<g�4�R�j��%�SxF�vU�0��D�U���<��N��� |Y�>}yCy@u��l';m�W9C[C��y��������|,�,�����#p�!�+�9�G�D,�X��}d��S���6@�{������� :�>���Qz�+8
TX�AB}�0���:����3^y=�V���}k�
XVTr�J�/������]�E�� xe:?*�7`JUJ5��c�#-�=H�$A������tw���
���+R/������[y�lI��>�O�M���:+�\F^�V�$�Y��-K��LuM�R\UR��[��o:�-���w�~��,.pQ��y
���G���P���5bR9���GL�R�-*��
�g�"6Y�1�>"*4=��~Q+�q'�m ���?u�����&�~u�r���Kz9t�
��������
��-*�G�����[]��GU�*�k].3�
���g@5��E��P��V]���Th��H�wh������ ��z�f^�sg�
�mw2�-�q@z���h�s-NE9u�'�}8+��[<c���
IOt��Dn������q�v��[-�%T��T�\U,�w�
�9�_������]��o{�o��fi���o�A����d2�-5F��G��?4��^���:s��V��6�"���3��G
�V�<�f.l�v!��a���fu�v����u��6�^�64���mWj�4SR���tEE�� ��S���hS���2���S���.?�*yt�Q�_��[��~mT�����������u�����t����%����4��Y>��(]���
xP�w)mRq�]=9�>���B��K^�[����9�f��u2�����n�<uq�9��}�
��h�4���S����Up.�+�d=���
h��D�������K$�p���,W��=�����S���C�{��Oe����M
����N��$rR\�xsvM����o'� �.)�Z�q���
�g'n�+�C��cv����
���f��o�kH\u)��jR��/Y)I�PMv%�%����@����cT\Z�l.��/����BVsC���k���&�ei�I���jI]
�(��Kp�������t� ��i��AGQY�$~�q��T�
��
��������[�
pJ�D.�Nn��%N�$|M�Cms�G���%��m�N�
G���{���
�������];���h)�8����UV�e�PJ��
1���nQ|5 �U�F��F\�B��z� �-�
��BP^e�\�[]p��q�����+s�b�v��J-K��fon��
BMy���V�
�c�
�
r
�E�qbrv��>Z&ZsF���#�u4w��|l�i�� 8�^�\���N���%L��-�Mw;.W���J^������
p�=j|Uk�5�[���:��B7J��"_�P�
��.V&#K�
#�La
�n�@���+����G�q�&�t� �#J��+u��l|r�,��I�x��6<��^��&n
��L�
�a�K$P$D����/���1������N5q����P?�>�eY��OT�����D�.Y��A�R�����S�����`�j�C9�d]>����%����\�Pxi��j%��W�M-
A��`����TA-Ye��7��e�j �[���p�X�P?k!6�kk�
=^���
A����&�s$5\N������g��=:ej����k
UT���OS��P�xV��H
����.����_$�Q� R���"��Q]� �C�RG1g�#MO������IE<�����]��K�7� ���Q��&�
�Ep���`�v(�����No��'
SB
�Q
����
�E������
*�T�����l�d�E�KeX���*K�|��T����wq�2V�B�
�D~�k�D~�����W`���{<�m~"?�����N9��3��
�1I���E/���U�R�L�O��i�3����Z[�RyA�2T�[�����E}��lv�u��;���n�'�����x,]��,W��9�C�"iY�>��.����_��G�K������$���������9{-�R��
!����R�h{�����"���
e�(�I Qx��:
�kw�ln�N� %7�H�$��p�<�!��
�TX��z�����m���������}���pU�_%�"��������7��U��[��F��z���7��e��dEq�1lj�J������4b&J_��
Z=U���1����H���TZT&��$�.
IlG+@��(��8NR��
��P��������/
���I�m��*r�#�
3�����-'S ���y
8�
�����)���X}��}c���.����RM��"�rv)��s{
�@�N5�({���noF�f��mY�
�t�%�Gv���\�W�e�#/SE^���a��~q�s ��#�Gl�I
��Jn��lj
{�I����a��T1��!Je��kv9TR�������K���<M�>Z�\�h�e�b�������H�� E?J�_J��/
uUxN`?�Y�����t�qi����N
�4�
�h���(!�muE�� �,�"�����>�������G�j����>
N�{V'!
�)/�c��
���U�����[�O5iTv��'��y�.$�v�����_&���2���������A�k�h������*�^���5��T1��L��
��I�(o��v�A����h��
�����������I3�i�������<4~�E�J��a�NZ[8=�Y������Hf.��N�
���
7%�����}��������
|m��C�zxC�}gi
O���~�Z���
`��s��������� SMh�^���4�P�P]���# _"�{�
d��|x<�G�*s
.*�u���y������Z2�>��Bh��� 4*�i�|�����-���v����?TB�h�@�������*�%�J �y�Z��}v�A��
����� �i��FG�$0��U
8�k�,�Kd�H#R�����c������2�v���.���6�y��D�d�,g�V:�u|�;`��C����Z��t�g����rTO������km���������Y�
�������R���-@7 7. �.
���X�V��(Df e������!��G��$(r-6���7��S��[�����$iz���%�\6��%*��{�*D}��>�?�L�l�0�J��e(�����"I �n
~�8�����N�d5��lF;~/ ��<���=�Eb��H�
Y�����%>�F8���LHqI2������+
_q���r��CRI��\�"x������WW����H�.�6��J�zY���F��0Q
Y�!\��y7���*���T�M�]]�/�F��lpn4���Q�
�F��2�������G���R;
s������x>
/.�������%���]�^n
J������W~�;A������_�%�n��;�
�#��=�k��;�A���u��
,p( �Bxj���.�U��nJk
Gd)��F���#��]
j""r:��n���7g�Y�
&lp�� `<=]��<C��uAJ:�
`���\�n���L�$9�
k����!����|��x�*�5�+~:�u�0�3�T$���
���/T�����/�o���$m��uo��'�����L��U�w)�*�v�����
����F��r��5�qi~�\��NY�4����� ��5e�9�����
�����g
�
�$� 5
oU}r�����d��
F�5y]�������?vb�����z
�)�+��~W�o�U��kR&��\�B8�V����D7I{��E��m�Hbr�H������Z�n��4�E���&��=xS�,Y��C��:���N4��+� p�8��]�,I�D��^8. M�rwjS���j��t,�8�`_��
��.��@�Er��'��|L�+������
l>�kU��*%�����\a�u��ck�x/�j�
)+�� ���:�<$U��U��$�
-��;]@����4���e
������9�T�1���&� �E��C�mJ\����g%�8�9=nI?G�o6i��-�M(7ec��������H/��:���U��J���%L����b���n���
T�<��_��xt/���9�}[���
7-u��Ez�'����*��
p|�B.T�������J��p����E�Q�u��.�~��B���!(������u8c���rZ����uP����'��"��&)����A����������
$����
(�B ��q$e�������K(
Y�^����
Zal�6�
�B�h�q'xA1
r���:}!�IA�� �U��k��(����/��; �E)*��G!5UU��
+�
��������jm��0'e���&1�����T��3����{��Wm���:O�����������-�iO����2�lg�@%r�:u�Z6K}\����6�|W�<��|c�f]V��+���W���:����q1D
�
]� e��
�'�w
�Wp\��6DH��������6����/�h�:.��E�h���^���U���r��
�.uNzv�]�#�C
l)$�^�lUN*��������4M��>/��2�k���B���GQ.E,nud�k��YE�=]f��Rq<��zV���%*c�4D.��U�(�������j��
A\w?k��T��jQ�l��.w�I�:�5�}�V<Z��d���4Z�N���6{:�
�=�*J����.����� �d�����t�$�K���k��Jk��3/� ��Fs/_���y��r���bZ��^
�:����&���M"����FhdO��E�yy�
^�U�I���U�Q�
���(�`K�x�#n��,�������Lq$����s��� ��W��p�z���l�{{��n�GW`�
��� �U��\jw���_])K��w{�M-
���f?.m�V�Q
�P�&���h%VeO�{9�ES,NC��W
0���5�v��B#��F�8�K\(�.T����K]�sg\47��T���HD�{V��R��uw[rr��W�~S>�Iv�,7�y�ow� �����
k�h�B��@���K�CZF���ZVt��_��Ck����q�AM�
t&�.�8iKA�mw�w7��.Y]CA�e�$��1��T��r�@w�Lk��a ��u,��^�� +����R
tq�o����i?�
*
r��z��
�� �6���s���q��0�~�j���R�3i0�x���mT+�� ^���&�?�JT�g$���w�_��>y���n|o�������v�Rn��VS=��D��i��@`��6�_z��n/����i��4'��.���2��O_\�7����P��W����������Nu9�z��t�@/
W'WH6@GZoK�B���@��y����xa�=o\������Fg���%��|���#T�D�-���p��q��j$��^?Q&����<��������#
����T��^���rAk��3M}�����
���z�Pi�W�'���TB���u�$�
�N.���U�A@Y�fP��S�2 9_~l���v��I: �1
�M���4��H�2��a���Q�>�0��1�9$�q�������&�qw
%���
�Y�V����Yk�Um�����������0-_ �A%@>�����
�����e�y^]��YZ��T�m�� ���S-�f.��@;U������S��o� ���"%>xs�@(1��m�q&���u�n��#�>��; ������W��u#���O;
�%���W�������-�������E�����v���
��d��9F��M��#
@�G���~�q[:���R��dK1�����
R'�M9����"����j����I�Tn�n��L��z^�1�I���.��
��W��#$������� �����@ |&y��AZU�S�Z���>�^A
�@Uc�}���y�Y+E����n�VMf�%(M������Zj������r�h��:Q�qb7�/=��L+P�U���])�$
|��
lJ5��/(���]��<��N�����?u��/�s�L��3b�3��O��oM���|��>��_VI�j>���7��
�7�����iQ>C>��<:]��
�n�|q�e��_�(<`:���g�C
�<�)�x�
��
������WoG:^�22z�%��=m��@���}��=6T��R�_
CR����=
[������#��;�im|9������,%g����d]<d���N�9�*�+�����0���U+w��z�f��YkD
��<�{A�U\��n�r�J�6Y��.b��x��
��j�&C&�:��H^�i�����.L2����\��7�Ep��R�8p�=+��!����K����T�N�vC��n�g�����<
��Z��#�q���Uzo�|����h�����
R����
3�� ��D�
�fMfW���%*A�V��@G5�h+�)�1��2���u���8H�� Un�
|y��rF�J��\n�q��$QF�Z�+x�@X��7���M���hAy���Z�bo*s=.���w)���[�IA@���f�/<����B�J��S^�aFs\�v
[�[%�3���'�V�l��e v~7�:
�:%'��*��?�l�����6O��m��Qp�zdd%�lL��{\�@V�L.���}�)
TI�_�R�� q�e�g3��z,�n�&o�t5)
��k�|�l�U�x�ERV�A����)i�����x�<Uu��,��
�ID�3(��� ����
K�R���`�K^����b48j�.��%];9��u��#VBl�*�������g
OAaK�c=���d���.B�<x���SF��v$���V-�
D~'i;��}���>w��^/G($
'�C%���
5��"�RH(Cx%q��� L�,�eV�^.�n��
�T���&���V��#�w�.3^C��w������G�������E�������&�����K���}��Q.O�5���O)o� \�� �r�� �A4�q�Fx������XysU%d�^=�� u�!D�C�
�Q{�_E�����
��0���@��
�.{�y��A�
K��E�����.��
2�U���!
@]�H�w���l����OWw+�:��*�_���x�m��A!|U�^v��
4.j(}��Q�; 2
6J <z���v.��V�#��|��u���&�p�r'cI>'f���J���U-XEd��
��
|A]�5W"Ot D��w��%���s9t_�*<���}��)�T��a]"b�kV�n�����6T���)
C\VB�r�Uq�V#�iSSq�M6=%���$�Z2��x���F4�_'���O�m�B;`s�^/D@���n0����<�jT�.�7c+b~I�u����rvr�*qJv�:yV8�{��H�J>x5�^�MI��zi.�s�h ���������������IrIE�9�`�,C,�C���)!1��C��rU��M���Cc�
�
+��`��#��v��m���i��@�����@��{
���2��r�����x*��^p����LTu�
�n�1 ��w��k����i�GQI�t�Ob��
�dg+�H�7�������{��;�i���X�����P0���R
:����6 �}+|�^�-PC�8S>o� �Q�L�F`���r5V!Q�z
�%�~$�t������Q� ����U;�_�x��s�R�����_o&e�����j���toe��YA!��R�8#���__UhJ�y{����:���*N��>�����nG��%PI]��}����5U'���p��9���I
B��$yjy�8k*0+�G��T(��-h2�m� ����<,�4\��Z��f��P���V���%����>6�h�) ���<��@�K :V�w�
���_��
���vs��������
T
������N�z���F���J��6es/i�9���R�$:yT$5r�8
|}o�����k��+�
�&�U�����C9�u�$��t :z��W�����$b�V��?��&���xd*��i���%#P�t�6�o�E�$�hTu�|+?'�@��a*���K� �R����A5����U�7J�">��Q�����SaL������8!�kM\EF]��W�������v�����KRx*:xv������24����G�PrCk�W��9�pA�����(
�#�~��}�5���=��4�}m� �6�j�p9J�lu]%
��R<NR�^Ny?m��dc�{�E�}.wi�hFEg���y�-����ni���YvN�������d.��Q�[�35k
#:��7� a1���z�B�jZg���z��|����m���r{����
�
( ������NZ>"J4�~H�Yb���d�(�<<
]`8zVJ
sI�������|;���
3�t)"�J�@b?�O�RZW7�!"����,}
�[���@����S�4'��(�Q4�Iu"�ar��JQ��
�Y�����7~<T��@�����
R�w�:N���V7��
e]'��l����*�:�8�"�^���:J�-~m�L���s|��r��=���Z�n��/�����{��i��
���Pj�!
�64�Z���J�J������[�%�H�3d�
���R��rh8y]=P�
��P�R���J�s���;PJs�\=��/�h���,�z�1"v= �%!@�G�i�s��'&R��������\M�4h9��Bi�W����
�p�����zv��u�C�����/�����*�Z��
�>��e7�
H�����t��X�Q�|6����@@�UE���\���"Wf��_m��YYYv; ���
:��c�ER6�z�j����Yi�p)���`�}V����8��;sAL�*������ '��2��'�J
�3(��Ng����uN��u�&�����@�|�����BM����4$l���0��*_P�njoPv9
,�/��� k��)q��N�/vu�\yt����V��� ����)���8!hr�������m�Z;�0���#]���2���a�6�G������h�*��o��f-U��E���X����y�K���N-�x�`��T�m�A�R�Q���������NQ��2X5��Vn�V��-u�m|��u��r
�cRoG����~4�Z)��l��
UY�g#��4����E�h ���t�I��B_�'�H�2�
����.�3^��o������t�|��M�[�E�.e��o_e.��U
#����s��\��
:���<�U�L�8E��v��(P^%i����������%
D4�X:_N����u?Hd
�`qTq��
GX3�@i/{\=���*������
n x��v��_�=�H�g���n`�V����������X�/�:qf�d�� "A�����]�D��i��oE����T���tM���T�+S�����rU?��tS����XT9�#s!�
h�~7�������{H�v��}6�~y=����M����u��o�}������Q) �G�/��Q.�|��n ����
���O�7?
���?�'?����� �����~o��w�2�!%@�������� ������������O���w����������������O����#����������7����?��_��;�������������������n����/��_�������w��������������~����G��?�����_�������G�?����?���� �#G�w������W��
�����o��������p���'���g?;�������_�c� �������g����r��~�W��� ��w����o�?�������?
?�����_�����������������k�- ��������w�������>�O��/���������/��_������?�_����?���|����������������?8 ��~�����������?��~�#������~�w�� �����e����g�������� ��?� ��~���������������u�_����nr
�S���?��_|��O�����������?��/������������}����_������_?����{~�K9��o���� ���x���?�������
�������;�������'��������}��e?���#������C�����o�~���\������e��p���~���>V+���/?���������s+�����g?��w���]�����t� 7�E�������x��������?~�W*��_����
���� ������0����������$�},;���O�M��u'��2����0Y�5����?��Gu'�,*];
�s
��SH�9����������t�b�&��W�{�3�ZT�q������}V��
���u�u��P�d�-g����G-~��u�~��
I��
t]�;�3?5U}���?kF��4al�D�'�Y�,}��;Go8B
���8M�(��v����Y��5�*����g]J���!�+gzn��_���r�@�AyE�Vd�a������U�Fv��
������^�w��w���wxV��
-_�
Udxk�-������� 1]
|������(�b�@y9o|��=�2�v�q��
�G P�
�X�����%~9,�^
��Dh�h�j��$][��yX�1�KMZ����k��
�����zU�S�$�����������0�[��S���,G�Q�(U<��mI�p>��q���Tu������Kb�3���������A�Q�G�Pb&��w��-G�MO30&���3��[���-�Z��^]���up��������yXRVl]��p
�;���.��|�0���#������R�5�V��:,�d1���jb�l���]�wX��Te����?��?�������oe��}�'�
�]{�� iD�oQ�n����-������za��f��>O*W��"
������n�VL���Z �������%�.�v<7I���3y<���A���Mq�Ka@t�8�
)�eC
,'�z'�x}qF���N����I�pF�N�+��?�hI1I���B�=G*�1�O���k$���r�(A����
`�vv�Q���z���y��m>�������5���y�X ���kU�z������
�|^�+e��r���S%�Wv;�;��4�?wD�9��d� ������uoV��b8�;���������`Y�?X��+O
#��V��*��a��^����yX��
A�i^�
)���9�HXNs���Z�cUkdK��w��
G�
���x
%���AU�G����:�t����W��]L�
5+\U�,������i���t�D�" +wS��3���$n��aSp�1_�{RK:�r�p�O���e���n{
C�lA� �����������9�d���O�_��m�����\=y���s�6���g=xd���F�N��/
G�PV�wX���W
�|�����l
�������(��:Il�|�I��%k���Z�
1oI�C�j�����[�����W�v-���g�^�6M� �������-�����z�#
� �R�T��f������+5�n���k����y������.�1�
bp����"4�q���
��r����&�L�n�4"������Vi=IA���X��S{��0������9{�B���I��q��V][�p������� �/���x��(�� �{o�UkBj���x}}��1�
=����Ar�IHj^^_��3�Y�]r J��<C�P:����q�
M�n���"��w"��[��l�&%"��t�p"|����
��i�V�S�-.�tD�����ux������������WlK[?�����W������(���$oF'���7H�(�U/i���
fu1��NP��tK���K�}���Fvw��lPuc..?\G'�#�B~M���e�����*'����������|�(��c�W����b���
U�kM�
�����b�������P��u=]��.���-�#=b^���w��8�W��Da��#(�k��
�RG����j
O�I]�0���*dM�J�{��x���j
ZZ�������� ����Mp�������)-N���
�����
�T_��;�9{<.����~��=�C������/w�:�8��l������7�G�� �� 7pJ�E����������K����b
S��p?�/������M�)��[l_�bP��w�tA8k#@~��;j�_���X��4�f�����
?^g��*����]�E�t�)�����I�%���z�4i^*���^�����_�-U�N��p-F����gT��������
����
��e� � G���T�
�KgK
�>��I�)��q���X��\�e��cb��T���3����-j8�{T��
s��
��6VO�������r�$l�6���;�� ���~
[�( �v���Y�z/����"_�y�/����[�\���g�a���U���}�|�M���
��N'����������
mJ8�/
��0FU���[P�t��`��%�V37��M]G��)���Sg%lL���v,U(@(����}l���
_�"�)�+5�8�,%'�{)!���}��o�zw�}���K�@�����b��8T���TcR*�@��F������Q�:Z��l���3+�k����L����1^�!"��8�o$�k��.Z�4�c�&�~D-"B�'
�����#8{^7����
��v�RG�������
���c D�x
��(rT�C��H������
�Q�2H�0/�T����,=�<,�_3�ZF|�����u�SQT@�Y)�Mz�#?��^�
v�3���pg�Wy���Q�r8*fZ�6��N@f���9+��Z�����v����v K���
Q�%y��duN�����wn����{i��x �@p���TR������2�XF����z.�G�����
�"a�
A
�<5���I�_�^pW�����
KlW�@��t��.��#~�oM��������*�� ���CaM��k}
7���"��:r ��q��t+�@p^/7$��@�E��<�R+�Vp)���5"�)m;���b
)#�/�J�6�|��WW��5
�
�����_���`���\Rf���y�2�;����g�`:�p������$�5���_IQ/>����4�v�Q�<0
�:������Pj��'4o
��B
r���!9N�6�a�'p����]�����Z�;`��������.I�>��u��y_Iz~��\��i1h�.?���G�����S��~�Y��g�#�[:;���
��t<��
V
G\Z}��NANhV���8}?��iY���9-�4,���]m�Pv+7Y�%���w\Om(�S��c���&��og�]� �(X�X8��IF�����~��|�����v~[���\�1��<�/�;=J�����&����5��Jr����]b�;'B���4�#.��R�]r�T[������O���ebqb�$�S��O�j�F��*W�8��
��g�W� J) ��M.�nE3z���WX�3u0��V��)��=�[e+IJ����� 46���1�5z�S��������.����
)�!� K�Z �n�'�������Z��*�.�� .���-�pC�����i���!�~���6���������3U8�����\�|\���������%(���
�l��Q?J)�U��_8-_;x�C~
��)��-o��'���g�|J�
��"GT�{����Q,8Xm9t���N���Q��K�Q����C�fS��l���[�N������"
���V�G�q��T���:�S�������N��~HK=��4eJ}�z��/���������]�� S%�'Us� )O������(�KS&jY�������-����J������h
1���Mi���������0vi�GP{��5���_���%��/������q���WO�X�l ���H���\Lw���|��)
�S�U��� (m����3�m_�pZ���(�
�
.�I������N��i����z+f���t��\dEA������Y�]������\VGl����
��� MJ��t|
g��� ��a�@�H��)��<)�M�2%>KLTtL���84������p^�K������)�n�B�~���i����Q����ecj7������r��Z"�[�bqZ������z�qYG�M���M���UY*:gN�Q��0���x7�7���/�
�{@O��R%~���M�VU�\�2J����u��VaA�^+�;5\�IM!��#��
�����R��k^W3K
��{�
��_g7����KR�#������Vxu/����Y�$�u�%n'
��K8/���)a[*]�o���s<���
c�V]�8�
��k}�#�������=,
n�!�x�\&�����O�?�G�H�Zn
��~lB�I
���VHq���yc7��c����|G�����w�2�+�F��R���wb_���y���?������e�v��o�X�
�����VMr��#���N��n5�hC��R~Z�U�
����U
�u���?����+'_��o9X��{�������
��o
��Q���u�6�u�c�w��|
�A����@8] �\]������P'^g��C��2�:�X�G"�{���Q{��D�u�����=F���;E5l����|NM������&*K�Uj[��G���LT ������U�KEx]��*����Y�E�']��s(�_��=����$J��V.Fu���6>�
�|�`)���j�z��T>�����*<�3�:O{�*��z���pJD�"����Tg
���&�x=��GVYj*�_T6!#<ICnn������Fz�FT�����
���
��c��v���b�N����K3���!b�8�S�~��n��:p���H�.��W_����Ivo�|V[��i�
�w��:s�����^� ~l^ ����y�-8��_���:� �k�g���y�STk�4
Q h�����2�LR�v�x5�2�7�4t���~�Vd���U]����E��ZY{rN��nrp�:��-�17e �3N�� v��9jPJL!}��m�=R���l�������
�&��6@��49��u�\����A_�jb>��u��5��jt��(����}��=\�7��+�p��/��}96D�
�T���l����F����
� mf��>U�v��
����,V)�����=����YJ~���dB��d���n��K?�J�8�"#��T�z
#���`|Fu����T��j�
���GF�
����6��"x�Q��[m0j�������J��+�-*�#o[w���zl �g�nI��:�`��*N��8x7�O���2�R
|n��� -`�Q'
��]�}������W�|����{�r�G���l�E �U?�[��
�@� �k�;�eg\_�Xe���%�sd�v��/�����3[����D�T��V=�����]���\�z���ev�L���#
�|X�kO��,C��T���g�z�sr�t�VE*-�o�t������E�E
�d����:f����z1o
H����}Jp)X'����;tj8�q���(�H���^��mg?���_���1W�I!��l\.
�67h�[v������q�#�����-kX�'���S!����o����������"�j
�[����`�
�Ya;��x��C�|i�9u������q���F�-9>��������2�u�Jb�E������^5���;~5��I"������[��h�� �R[��wQ@����ux��J7�:|CW ���
�}�
`��U������{T�[�+�h�0�\�#9�����w6E&j$�����j�l��C�!�M���|��e�S��
8���I��a�� S�$�2�4��0xd��m ,��0�t���'���:��@le����u�������MM
������#�B)p���
����U��*�)���
Py�oN�Au�pW��������bhR�l��fdBPY_Zo���f����� �����r��whv
$�-���7��z��%�g�1;��H���S/g�5�/�a�U����\��W��6
m /�+�Q<�*�s����)#S�} _QhR%sj6�*A�������P,��PI�z����U�������\��~.�t��v��*gmT��| M����::�'�s�w�9*�4���������e���b3y/E����x�C�gBm!h�5\����ZQ�vg���H��Z����.��A]�=�
�-��p�=�q�������1�L��{�o�<Q�-�����7���H������q�g������=�on��n��8bH�����?�M6�C�W0!�T/�'����N�_�[]�2���5.�j���=�����
�:����!G��Qq5��� 7��jY�
g���V��S�a��9��R|��n��Q� ]<��Lt�e��j�_�{
S�
\�Nn�E���.�O {�`Z��@|��
hu_�S�|��l�71�����o�
vL��
�Ftu��
�~����n����4��J����eB�!�m��\�:)���R��:�����0������{N�
*/$%*~�:&
����������l3���z���J��K��H@�����c�F��7�8��+�����[
�$>r����K�CWo��p�~��s|�b���M�l|k
�;��Q����p�e�
!�_��*I�N��8]�M>^%�C���Z/ B
�����I�:^�O�z��5�se�oE�HV�{�6�6�WL�An�Lx�����+
C�b��
p�m8gI��z����k����R�U�;)����z����+`TV�g��8
Q/HVm��
��B`T����u4;y@�h�to?�:����Z.5�
&��� � ��w�<����#.|�kK�������@�����h��N����)��,�n�i��G�������
���H��[P�=�J�R����
�3��l����"`��\�^��l����
�J��D U���v?��B�����
�}�`�:�ozc��������/�����|<
��R������l��%�/o�p�^�?
5��;��~|u0�
���R����������8��PSM����%"I�������sq��uPg�x���tU�(LPp(|%�b�p�y���;WU���9;Q�.R/�1m*5r�y��/
��?:m��
�)6-)�.t
�s>#�R�NUH.�B[
��������F�A���n��EH���!E��,��h����,�3P�W���M�s�~�(��B���x�����#���(?�[Kj�"��Q�p_.aw�{n�f��2_M��G�b���c�*s^ b:�
�)������ ?#
��F�g����*�w��+A�$�9����Z���@�f��+K�}_�!�����.��(��� �7�3t���W�I�����u��}@��@��4�R��I!�o�����
���P���'�����kTs��DV'�!II ����*.�P;��D����f>�hk��b��s��\�]����c�{����� #�O�h��vs��/�~O� ���*3�0�bQ�_���^��S!������vD�oj��N����H?��R��?��������
��W����j���
Z�|����)��.OD�04��%�j�4���,0J@t���^�rU���W��R��O��_��j��(\���JB��<��\������PS���A�!�d�/�I�=�91[���q�6
p�W��
�p�����E�\P<�6 �S���
�l�9��8H��Ge4�J�A�#���/�\���
�N�Ox�W����o�� �Sa�H�HI� �L���d���'*����EiE!n������^B� ��v��Aj���U��(���y8
d 1��{y��@��$�k�*�/B�-���}�:�
j
����eJ���1��Iv����\��&�,]��o4���
��I2��s�3��jh�(������PG�������
L���MvM�V�yv*����n�?T��D9�{*� �'� �G;.��;� |���:��>Y�0����q�xn]��Q��[Qp�����MK9�
���)�^������~�����H�&=���!+�Jc���>�D��8EFxx�
��j��7�O�=�}x�_h�*U����@�
(�y����U��>��|
$�e�s���EN9��'2�5�&j�M��-���}~�������_���3�;�T��D+��gz��<5��^E
�e*�1���3k|mZ p�o�:�����%�����srD�w����l��_E>����.e�����I�����u+H�R�N���y��Rj_����z��U���W�4v��'��e{��;�.�A3L"2Q���(�^ �����������������nWA�jBvLn\~��l���nR{��(�S%9)d��= ���}���d54�\�V��a����"7�0~��b���X����u�����`��G`!�s
^�^��Uj0�y����V-��V���bSy
���k���/f��������.�
�o���T�J��@��~P@�@�<����:=8.��n�� |����~IR4�t
�
��9����
u��Tb�������!x<���G/��)�d{ctV
O�����JU����2��R,y��I����R5�����4�YP�<79`�U��DY@�mV*��+�[-��
�����%;��
l6�4P�Ux�����|3���pB�/5�����8p��X�m~�r7�3G,u�G���4n��&�\�.��v���'rc���H���c}� �e�/C�_7���������� ��?����o���tL_�s�o&��_�e�����o��/�� ����<w���k��edQ��);`��OWUI��Z�� �u\�����q�)�
p
(����b3�U* L��JI�v���N5;�-4���^�� D��*�<�)��C1����t,M�b������J|�����M���KV�2�������D����c��������&)n���y�'�;���
�H�J;����^Z
u����N�UpRU|��0�����X�qVq�?�e��H
]cH���D}�Q�"�}�V ��g��_y�
O���[
E�+���u;��U ������_E�E���C��{
(���o)
n���{�?u�����G�!�q@��RauE���WL5�/=F�
\o�%CQ@8#����"n������Y����:��,
�`T�z'U:�2�pb�M� >>MUGs��n���`/,�6-
�TY����eY��!��{+�h��
i�1�����e���
���,^_IU�LaG��<�k��]����/u;��B�0�'s}T�(�F�~��?d���
��:,Gx��!��\���>y+��r�O��8�k[�����b�#v�6h��� tA�����$*���}���,�������G��k�"
���U�+_����:��
���j�T������y>����{���P?�m��vq�|�5fho�����s���
���H�����xsY�H�x
�R|QJ��Y�"
(��9E��:�6�.�
S�}9��
4�;���zb�J���z��EP�����3��
�w^j�_�
�����]U�����}S��o�F�Z�����h��
M����X��VEL�^�l��R��+E�����M���ou=1RI���
���{��v���k������z��9�{�DRr*�$"2
n�"x�IQ���`�ig�V�v���
�s=�����b?��r���D)����j���l��^�=��6��.2�A�T��R�Q�j���������J�NU����UB~tO~/W^�����%��' �,`+wa^�a��K�������v��(
�Y�sW}!�l�
(W�k�1�5m��sV��bE��v���5��^����\���� AlD�dT�Y��/��D<�:���|0~��PU��|6�Sv��}��G��k�+����������z�gM���6�W?7a����[
,2�r�6�.� �M�����5�bC5�w���D��8�$��]K�?d�$
�z�5Q���a��3����1,�GUa��m�so��T���N�E~��&
�_�/ �W�p�)���t�y�~4���;��R�I��+����
[j9[]7�[���t�w
��
Wp,��E�������'X/��_�W�>���z� �]
��k��e�73xf�j�K��|�����Q(����b�K�8��}�����~��/
?�9����T-IS����pI"z��'`���w����R
3�F�uo��D���k�o�.���u���6i/U�X�����
�+�QI P�q1
Y2�$x��c��v|�z�T)uD��(
�Y�
����9���)��v�\����"����]P��Y�ZI}r[t��U�����/]T
.���w�r�
��%{���*����z%�)��*��DIY�CZ8@��=�����)&��]�����2���n)h�k�?�"�d
���i�O�i�J,�]3e���W��Q��n�,��8��i�+cJw�_:�\B5V]K4�-~q��u�D
y(9?���
�������� ��L����"3E���)�H���L���������#��=�?2v��-�� ��P�e
��;���Us']��������Ok=+��`�'�r3�b��
��N�[��;�v��N��m��z���4�?����0���I��U�M�Nj�hT��[�*����*{K�oZI���o(�A�\����^�\ �(�L�S%}0��j��?-JTT�o���'X�=�k� rNi����zT����)�tb8�����������������-?��H���H�y�
���)NV��� & %�}�9s����&��jC�x������%���
}e�=�[������N�O�
f����?5q��d���� ��IjE=h��*@�3wQ���t��N6�SS��T����$M�c�_�� ��|�5�/����2)A�1��c����
+B?t��9����
9��N�t������+��W�<�~����y��5��=���*�� 7��hYt���p���|we���^�>��nc����i����n�IP
�~���n C}
O\��U������{�4��/��A����N5}
����9#����-�����?J/��AcmV��a���5^��V8�F��;�~K���q[�:�dt���}�2{����s �
�K8%8����Z~%�N�x�+66�6iF.�:����{�$��7 ?�
�\Mt���� �
������M�EW��-��j�
H��% d���+L�w��ND��������TI_O��46��_z�%�^���Hi��H��ID�����"J�?�4T��������X�G)����K�b�Qa�1�hz��Xs�r��
� 3EY����1������N@�uH�Dr���}\T��h��*�@@�b��r�
_�T�(�y������>��IO��I�%?�v _��(��c���
�B�L��*���uI
�����^���,ovS3<�^�H;�m'lP�Q���XO��#h?��^ /�4������n��v�����
�������B���79
�@����I<�T�~::��������j]4N����5;�(�Vj�[��t�-BW8["DK7�����z+�����S/F�t��J��L�/^8�M�����kA7@w����;�������:��Y(���vW") �Zr�
`�a�K��m���p<,ss}N� ���j�
�%5� 9��:r>m;| �D������B��F_�T��k*�N��
^ �8IC��+$
��YL�T�\{��$�=��C�8A
�S)��:e��C���7�}����Z��{.��E"&V~�� z�n.��M��<.����n�S
��hHh�� TQ����Z��?��_=�O�� m����V��P%x�����#�b�Buu"����I�O����v�Lyi,���h��(��C��.��:[����gT�*���y/ �.=M��8���x'}���p��w��d��sTz�6a�v����A�����o���m��/�����/�%��}BR&b��S������es�
>p��V]
O6�
N8��� \��$�$�+,$���NV�Y@�=��$0���;����l�S���K�t7b8@�^�����w9(0����f��,FR?2�)-����Q���P�����
�.nK U��j(�E���za�
I��sO��k(,��xZ��y�@�������%����T�����w^_]�?�zx��u��s
X��
\����5���Y�Ccy���]:C��\g�y
7e
�z�7�F�<90��g�)(�?�'y����Ql�"Gq���NX���i����W����I�
���pA<4�8.��KC�~��c�:# ��s���2/�%�����vm��:�� �����
�d
C���
�
eQ�
Q�.�������m���;E,�T7�;r���V�Q=`��
P������ �-���T��
�p����>������]�W~wT"���IP�
��fs�G|W}V���Y/�\�S��1���������|��U��O[��H�~-
��w'�T}i�|6���NW�g�SP��|���>%�w��f ��U�����OU���cn�H��0��2M�W�.�@\�>�m�/M\}��*=�k
-
W���S��3-�y����+�%(��r��,�u���2��k �i��x6�E� �^�%/�����+�z=<Lp&hL��)�!h�f���OH���8WI����E��:�#
a��}��%n7�����m�+�o3B���'�1�^�����ais�%I���R%=��zck�����a��}���B�DII���q�`����7�(�z�K���>�[��.�
6��-��������W�\w@)W r�
T������gj�,Q��
x]J_�O�Z��7��J����:
��9��3�'���-
u��^��c~�-Jv���L
\72�:uPy��%T���q$$py��^���X�l���D&Q�,
���)M��W�����z���|��x�_!�a���t��M�����������;��&��Um
���MS�ZD�8ORT��+����C�6��Q}�����^���&[���|���j�B�������CS,J��q�a���y2NQ;��#�F��~.}[U�������@7jnH
�( �6�;�=U>�MfS��_����5�] �Cq�q
:�Z)�f��o6I��Kb?A����b7�?��dA���
���c}
�����C �����}�4��U/���y@Y�T�� �
���R�Iw��]��|�z5��&O���t=�y�����m?���i����^Id���������/}7�_AU����Q����������P���sy8��9�Q�����'��u�
���Z?s�A]����|���+�
��S����,��q��y�&q��!��*�����������$�r�B��] J�V����p X��v���r�q��h|!y����!T{��Pp������.�W� �M��z���/���g��=��5�w ��T����5�;�
�y��D�ElPI�V���.��c\�
a�2M��8�=�,�- �z���t{��|��E���[V���-P/A����$q�L�s��HT_q&!��������M.W�"��0mub�����#����S;>����(�y��A�sS��(;�jP����}������M.i�a�=��/�^gR BQ��;����w��������O
��\I�;;,%u����<�Q��������\5���Dyh��K��2�����0x�ld^m�n/����H�
@>����.
��+������#��6
;
O����Z#�?
W�7y�W#�3����w���J�,C=@���c��� [ZX��nN���'�*ju���t V@r<�)����Q
�� �%b�^K��v�|w����Q�5
���������J��*\����<<NV�f�v�ya��W:D��f�.����9����L!1tb?K��[�HP)7�{��g
�����:�<��5
@"���p���������m�=�
��%�%BT
r��x�5�E�����e�����?��+�6se��F5�+$�X58dt �>�\��*q�����
�3��mFn2�w�"8
��g�a�&�Pf.�b��G��!��Q�Fj
"9Y�
�N�n���
�D�d�[��&�-�{���������_Z}�
�~x���9H��n�
��W��h^%�M6v��\��wG}����
qi�W��@�hh���f��0�_=W���R���������
j�z��x�4we��5Lq
��rY@d�Y��*���%���gK0����3�[]�z�Z�?*�w��T8����R���T��;K%U����
G�L��z ��Q&S�q�&_�%�
��Mb�%mx���~-1i���_
�
��U/_�^��Ir�@^b9~�L��d����]S�B��jkI�T��S?�O|����i���c|��*�����+�1���G4
��� >��<]w B������M$W����Q<�=H����1y
�!�����
���������l����yN�*��%��
������v�lu�
lep��P�]&ki3"$����;�_��������(#�0��&�����8�kA��xg�j�:`x�Z����������>���pm
�h�,��0����r�� H��Ou�s��}�� n�q���ym������5xo�<��������
>]��)U�N��|
�������B�t�gY��L/!(�#�?%�.�Q�1�=���KKO3�"��
M��l>=�>����G�
3jQ�����y�V�<���������B{��q���X�-�Z>3�X=�h��t��q����#"���y�}D��Qc}
��
���Xr��T0�
:t�(������@4�
��ns���O *����A��)���;��`�����c�h��n���x �������#I�v��2wpD�\&���������y��Q��H�4�C����f ���M��
)�rZ�x��b
��$�f
�'v���x;���B�u����&#s���c�s
�ux�i�2�X�
��!#�
R��;-����"��9r�x���A��v��<�� ��#6
���kQb��&�a
\K�E:����B���#�^!>U3���
JCwJ
[����8��(� ������x>8
$C�)�F�d�
��
]���L
�u�.@�)�����lL<��JZX��4u@6i�m��K
��{\����c8 ��
�V��[x�2ss���hr��!
3X�����a�\h��1}��9e
K�����$������>�L�����o�Qi�a��h^���=�YrG�G��p��!1jq�wP����4|�}
�<C
�a#�h���
���cyr���X*����&������� 71N��1\E�4��
��n����6H�����X��e���;��C<��u���q!"����F��
�@2rCP'��v� A
��f�M%2N�L}�
���:�0�6�0��^u��\��'��_}C7Oi��u$�`������7����a@��a2�H���� ��T
��k���Hkx����-P�
=Li��$�Yz�
�����of��
F�p���1�$H�'\����a���3��>���
���DHN��w�e4/d��<��q����w��O��j@���H�y�j[L��cC���j� &� ����d&�'�=���P�>����/����
�
�
f� ����
T��Za�=�#Wq�e��_�v����L���Y�b�u�PO�?�x�}����v�n�L1Eu�~�LJ�,9/�z��x������>%t��FtTr��2�lY�-�:�`� �yx��96��=p�w��
�C�I�lp�.u<�3�I'��zt���T�
kb2@4����/���������<[�jf�G�\�,��k� H������Pf����=-�����M���y��
M
��m<�����������\��N��4c��<���,��fF���x��`�)�������`z�O�C��d�8�����=�������
@5z'���.�t6���($_j�Kg�,.����f����mZ\�x��m�q!j�����������1<����{<��q��u
��9����
L�V��� jc��}�f�� ]�>�
k��<���*u��l(8t��3�
����,=Z�
��1~D �d� <4
,$!4Y������hJ���|
h�`(</�,
e��<���v��L7|�K���Sr4x��;�-��"@�0Z��6��0�?9 ����6�g$�'%f@�`�`��
��fv�s����
���j�Q�z��}���Z
�9�k�IQ�����4��������
���i�,�M��; ��B����I�m���H��N�)2�N��M� ������vx�y�]F���2��d ;��sf���;����9.7�]�����p�)lRO�0
vz85g����H�E�!�.�Ee��Eo��dWF'�6c��5���oKx���(�/��v��N@H��n�[���q�P�y�����1�kD�2���%�pZ��L���9�!6t�.T3���u:���!�
�O����A9=�l�lU��m��
K�f�%L����(
}������2�J���;
�D�^�O�
b�!���f
����x
��R�t{�i37���F���C�#�2cG���
����^�u���#�xh
�����3�KC��!c�X�v������9�~��h��>�
��$61�
���\�d��9�� ���B��%A����:� ux#��d�U�I��DHMD"�i����)����ckD���S�G��{��Y�#w8�N��
�'�aJ���M�
��8��� ��y!�
F�b� T�6����;I��`lK^�`��cKb��(�,����H���
:�`A�h�=��euZ1������]f�:^A�� �vm�����CD�&s-@��,����c�dF#�8�����3��O� �H�2����&��Z
�
4���N�O+dy���&��yv�ut
�X
�i:Z���`��4c
4I���PC�N�q0;&E����S2b��+�S�$O�
s:��o5����{FL��av7d�2�6]\;�5 �
�x$���Mf��:uzL�����������{�=���\l�!����gfB��c���A����&]����~�c�4�e�V������z<�@e�4,�5��)���t
�ih���9Pa4^���0�*��w�}&���3��c��fx�&����-�Q�>�bb#��Pa�3 �H�<����P�Mf�&���h��#]�� �;j�-��K�}J�T�\1�0G
����>}�a��>�����u�]
;���f���
� G.f��a���a�M&u��7A]�26����6��EBv���� K��#l��viO�I�
H���j��S-���� �Q��]���x.��m^��zm��N�il\��KS�� ~�.���$�f-��Z>GP.�A��������Xd�� GV��2d��
y9��c���)6A/�!�6�
wq"P��
#)A���9�9,�5�|�r�Bk�Z(
��P���C[6��.d��%KL���+��� r�� �.��1�h
$CL�)u�YNd��Kr��<�y��ir�f��L
#0}N�r*�U����iA��W����
�{��v���1-0]�)ZT���
���a�:�V�0�� ��;Ba�O�wl���(��B3���\. ��"Z�$Ng���a���<z�t��6�
yQ�U6G��\M�
����d�~���>�h��3�����c�E^�epM�v�b��w}�!��L"&�A�O���OL�$�f�
l'�moi�<�
� 5���m�F�6�P���t��3�b+���i���S���X�k,&��N���;�
���
p(o�X��C=^���� ���A�6g�/��
l_�tU6�����>�:2�fv;�
=��X\�i2�m���3�:u$�z�����v�y���#\�6�]��L
���y#� �
��X�+B��d�8�r���#�P�1���t}�S��P
!�;TG��q�1x=�����d%���"6���$`
��p�>;���
rU��6�
r:b��HV�� P
�I���v �q�t�k��&��
��������Z (e�s:F��4aq^����� �6�����XORd3��1������QDWF��<4}���3���2�O���r��y�m:��?T�1�����&]��;����j���9-�Qz�=DM��
38d��F�:��l��n���3!�%���R} zW_4�����MI:�K�N�8cp��8���P��6C�;J�&�8O��*�5]�y��y���<�
/$t��W�y��$��=���p}�= ����@����
&E��gj�o�V]��p��N��gJ,����,p�+{L����.P�O8����3JwP;z��6v��A4�����av�!0]�D�
�W��(Eg�&�E��.�C��>�P��6CS������>�.S3u�������
�Z�11']����:�A�^
{��S�"����l�PsG-�f��e����|c^�-&%�:%���t�
���wr *k)�d5b����rf�Z8a�#%M��y�f�Z������Xe@Q� ��(t���<��?��M���}5
�����x�\D��������h�w>��/���Q/�{}
:�q�����<
��i����x �P��u��\���`v^s's�����k��(n�t��`x�d�Y����o�N��T���5{�wo�����Q}������
:{�v�M��A�Y���z�JS���;
O��o�"n��|�1���3�b_�G��<�Kr�C�B=�_�����PEzYUQ0�4
`�g�K��y�4��|N��������D�}���"X���Va�NN>We���D��;G�P�3��-jn����Z��L�j��+/
����a�C�8Q���&���S /?�c���;���X�.�+&e���cn�� 2��V����,a����8f\��=��U�U�
o��<\9�
C��Gb����=������!+�w;?�z����u�����
�
=����]�����
���YG������������������e�p��f,�*���h�+[]L��
/R�T�#]�~V[��I��������s���Mk��@�T�|Oq
�JU�_������`��$U������C��7u���$���#����91[q�j'��Y.�
�a�������Udm�t�y�z���Gl���8��]��
���U0��s� I�(v����
)c�z�
I0w�::�r3�m!�������TQ�}�U���N�}��T�
_U����z�n?Z8������?�� ���C�5�t��>&;S.������bn6� �-���f6M�d��w����;'<�'��t
ta%�G@a5�h����cd��
��=~z���1 `�v���qc���mH���|�����5��&���a��'4�Z���[`�R��Gg���
��- �K�0��
QO)~�1P0.���1��2�O���� /���e����-�6'����s2r�Id��C�)X�h�}�Js����u�+��o��~7t��y�����9�A��^<�s���
��}0/���A���_+�� =�Z ���0���Q�y���n����<�O����'��*S9��^5B����4�v��������?��o ~�%�z�����CF��mY_Qb�6
H�wb
�:X�62�s���*�.�p�%5���&U��@�Q���
� #f@��U��E����^�����Z��vi�i,��Z�o%��4:�O��8�2p&����
�o�:
����sqU���M�+���������@ c��)�_��
}������,�F���2�
��
����K��L%��g���Ckh5
ZC�),?-3Q������!�j��\
��`_xA�:��x���z��b��F3��v
6Zl45����w��C�����|���I�O('I�7���K��������'nJX��0�D���J��-�)�3e����*^�
����2��Y�6U�Z��)-w��M���
��^�<Ay0q��X�����������O_�
��L=?~���/��CD�N-��
���!U�.�L}�o%P�� �@��
���q��l��9Z}��m�<���M���E��mD� �n0���J
�������?
.u��G*>�P��,�
�F�]q
�<
�rB���(�� "�����c��� X/t1Yk��1���^���* o�����ap>^�
o�i�S�6h�`
-�C}�������u&���������a�Z�
�Uc;'sJ���g
r,?�����9����&wU����8|v|0u.�W3�OVN�+�
D���aYOK� �V���H��
R�]�C�D���
�u�&����ON�/� �9��+'�/ T�vb�T��L�1��i�VLWN�5�c$3U �`�[QXj'�,�8y8q>����1?�Y���W�6[B������Qp�
� ��8�1���c�R�}V��������?-&����CY��)SRD,��(U�����TIeU{&7�k��hH%j������ap[g�/��W/y�u
U
�_~@yFD ���G��f�����a}a�)�u����Q��(3D�����v�n@eY
.C@���$�"$����'o��}��]���;����2��3%!������
oT-R�PT����_�Uh������yw����W��G�� x�"�u>�A�#����*�������r��������K���O�OO�O*�p� �r
�
�
O�����������!D��J��/�N��
|����:��X2�tXA���A(��g���1��X���1gk
l%AD
���0X@`���j��rL/*��}���ROC���vv6�N}"�
�^�I}�F��n|��'`
|�YM��B5�]��?�����
������"&�Co����_���� �t�c"��S?�Re
�+�f��M`[[5��^�R����C�M���'{�bN
��zDg��5IB��" {_a���u%�o�����<�? ��w
F�O�yI��v8�n
��g�a'���ls[Y�VVS1|V�p���`|���q�
P��!��d�jp|��B�cv���}"���W��q�=����!�!C�M���6��P�>��n
�>V���4����XO&Qr��)
�$��p>�X\� �'�?Hg--�v\�����������b
�%��� VxF1r�y�}C��3z�����[�������i��X��!�������2�K��s�$1� e)��%�����d~4��k�A{u*X�\X����
l������M�<�������!����)�`�/_r��W�/h2?��.s���,�O�)N_HT��vB&p�:�A8��pr�����"�x�U��]�����w<��nW�y�����)e�x�u��X!I
�T�o�11��^����6��z�
����o:��j�
s���`2�����:K�=u�x6��Q�s����K�%{|�j�D%��7�Vst����\�d&��
2���Fvf
+y�f?�4
���@�<\:0��*�cF�}c����'�2�r��2�������L�M��>���5��7;9���OI��g%�b�7������lx������gR<)����I7Hp���|3��2X�4�&�0Y)���j���~*�`��F8�c�9>9}������ �t��|��_����&�Fb3o
�
��C�q�.����p���_)�
�
^��
|�~
�V��QY�Z�
�V
����d-1�
���2���U%��9��y^{��?�������1(�X������(\QZ�2M+g�p�cZ�$��K��0���I����q��k�dF&VG�
���~�D���{ 5/�����!xc�
����������r����,'��
l�IV>#.RG��d�E���W���
����b=�r�D���0\I5���N�=?7zR�� e��T��P#WT'���`d:]���C��`�k���������W���%sp��@����"DbM,H�B����\A�F�iA�8�!�F��&o��b��X����c(�e
k��
�u�uS�=������!D��IS��4�% ���5sN
�~F�����R!~���(���
���1��V�Qlq����$��jF�9�9IZw6#�M�lI�vSlI��j�����'��
m��
��2��
:(%�X�V#�&�*��|AsHQ�R���w4"��[�Hq�n����w�����y�r��%T�����=������GGM���� ��mpF�)��?����c%����
�VF<
��q����(8�9�����K���^�x
����
�����:�&-k�Y}�?I� ��}�7��si���\��-�����=�1
;x����;����h�y��~9|
M;�z��,�xZ�DL�
w*?F��q����� 2x��`�FPQ�{?{?��VU
�a�kvc�E�>(�f���C�p=�
?��
����x ����
�*���lo��R��K�h��e@W�Ez��3�SAO����A1�3\"��r�t��(s�p��[� �Bc��7�FW�k�#�b�8�\��Q�Q�w�S
!�h5I<{_�hR�ih��",|)�����d� ���T���/���C���������K�xw[��uxm�r�q��+,I5Y��sc�^_���
�
g���Qq'����5�.)�.�9����-[�
���.��1����=��m�>����
�E��-����\
�U����J��_9{����k���s~:D����O)����z����w���|?{%3�S��S�X����?�
a\�rfe<���AA��f\�0��/s&b>���p�������
8��V�d�������j����k���Jp.����<����!
��B�z����
qpv�$���"4X#2�-r�������/�����T�Q�rp�����X�'ya����o��r���15�c��\�$��r�"���,��%���2�/~�H r�h�
��sQ��1z�g��������!���cZv�2(Z���S���+Nx��7r~_��K��t
����?��z�~
.�<D,��n�L������o~�*�^'���� 9��Rj����
��Or{��.��x��K����ho|*����f�{ �
�����"��-os�����?c����M
��#/L
e��T"����������/�'C��!����������'L��8��PJ���a@v��w�������J�7�j���/q3���S�����)���7����K^�%3�xc�EZ!Go���5�
7�\�K����
gi��n,}��6���CC�R2��($�#��
���B_"�
.���V�-L���"U�}�
�zq���N%����+#�� *~��al�|��G���������M����*�hVv���
��%���K��c���"b��;9�u7�������������i��O���
���3���3��T�I
�9e����&
J *�:{������O��
C��i����/����r�l�����yvw����M�B�����
`�R�g�0���Z��,�M|�\h�W�� $�S��
�/���������:��^c��}�e$�|�P�,_���g9n�x�T�x�UV��#�%.<�Es�PUE����=�f����t6��:/#����� ��J������F�M���e����b�?�d�b�!xCtw
bc���L�^���
R����Wv+1��'[��i�����l��W��� ���g�1��f�9�N� ����5�XM/ ����"B�Wz=�go�������
� ��#���~=���)����S�{���wY�{���k����.#o]��T��ts3�H�_���D���r�LhoLz����
*qa���P�!4�a�\U���*�
S:�x����bh��R8U�+�v�6��8� B��:�[nt������&��n���2�W��K�#�B������
BV���B��m���^p��x��>����x���N�kfk�+���
�`�C.@/�m�s��~K���R?�w��=�OBp(���@�
����Fv����<��4PX-�?kDO�e
�l2��g�o
��7�al���<�����.�Sb�'���`���M#�Qd����naq�P����S�4�E���B8�gY oy5Q\����up�[�T/�
m��Qj����������#���?Q���h��T��8�R����X1�}O���u7ot��
�i���6V�kqg������ycmokU�f
���#(�P��no#�����-��������S���K�^{�
��1�����>������4=�i*���&�lZ98��S�c�d
��EDH�����$kK ���
�\�k����epr
����K
>~6�X�6Sl}=���Rl�W?�`� �
�KQD����~���s�e�+b�%��+V�����q&�n���������?6�g��2 R��{�u�24\�T�'�%�)��g����{����q�LX��wr��������o"m������eV4�+mn���6�3Rk���T�1
�<4G��v����t5���cra
�����9=];7��2��xG�Bs�
�H���F�[���7E�v�
|������x.����
���G
�vYd/?���
��_��W9�/��N��x�1�}��>K+Ecv��\��YQ� EV7A7�Z^�OLYy���{e
,��e�&��Rm��lmbL��$:$����6a���jU�1w�{p��������4a7o�,�����To�Q����={K���_3Fn��M�Bg��&��4E���� ��z�Bw;��w9��<�-�3�n�0�h�
�%GS�E��E���j0i+d�74R��p7������B���I1����\#�QY���
1f��<ae��p
������*i`s��<]�|�5U4��
���
�O!���QU�>FK��9�nv>o��>c���"�O�W�8���
0����R<��r�-� 2�Z�Bhp��� ����izJ�`���6SMRV��w%�D>}���+3S� ���(8���
s]�2���g�Z��d=�����;'s��T�#�D
5TS���
)b�
��b�G(�ou
�����39W�I��� �uX\�5�X
��X�.�z
� ����9��k�����EN�~O9q���A17��*(�.Y%����o���'i�[�������9(wQ�t��L����r�N�v��!���Y�Wr���W��t
�����<w�&q����[x[ �l�����IA�����K'��$�O�K�������e{�ir!��k|���C��������;~�Y��(�Z��6�O�)�{'�mW��z�mFG]t�4)v_��8!d�K��2���~�m�h5
�
�����>���0{���
�^
��I�w����<������
�7���4��T
;�x4��
���h>s������<�Y��j2�_�Xf�.j���
x����q��M��J��0m�n�osWa�q|&��FWfs���d���l�
1m�r�_�e�u
*r� *���
�i-i(a���x�W��;y�;�|�t��bhWN�48�oW��{
U��D�����D5|�%����q�>3�GbQ-�M_@c$d��
��+�y�~Sy���:��D����O�k|�b��['��s��
�^(;�)��z���{����
�?���On Sat, Jan 9, 2021 at 08:08:16PM -0500, Bruce Momjian wrote:
On Sat, Jan 9, 2021 at 01:17:36PM -0500, Bruce Momjian wrote:
I know we are still working on the hex patch (dest-len) and the crypto
tests, but I wanted to post this so people can see where we are, and we
can get some current cfbot testing.Here is an updated version that covers all the possible
testing/configuration options.
Does anyone know why the cfbot applied the patch listed second first
here?
http://cfbot.cputube.org/patch_31_2925.log
Specifically, it applied hex..key.diff.gz before hex.diff.gz. I assumed
it would apply attachments in the order they appear in the email.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Sun, Jan 10, 2021 at 3:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Does anyone know why the cfbot applied the patch listed second first
here?http://cfbot.cputube.org/patch_31_2925.log
Specifically, it applied hex..key.diff.gz before hex.diff.gz. I assumed
it would apply attachments in the order they appear in the email.
It sorts the filenames (in this case after decompressing step removes
the .gz endings). That works pretty well for the patches that "git
format-patch" spits out, but it's a bit hit and miss with cases like
yours.
On Sun, Jan 10, 2021 at 06:04:12PM +1300, Thomas Munro wrote:
On Sun, Jan 10, 2021 at 3:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Does anyone know why the cfbot applied the patch listed second first
here?http://cfbot.cputube.org/patch_31_2925.log
Specifically, it applied hex..key.diff.gz before hex.diff.gz. I assumed
it would apply attachments in the order they appear in the email.It sorts the filenames (in this case after decompressing step removes
the .gz endings). That works pretty well for the patches that "git
format-patch" spits out, but it's a bit hit and miss with cases like
yours.
OK, here they are with numeric prefixes. It was actually tricky to
figure out how to create a squashed format-patch based on another branch.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
02-hex..key.diff.gzapplication/gzipDownload
�
�_�hex..key.diff��<k��F���W������i$�� ^�A|����A�9
(�%1C�
3Vp?����$����d��5["Y���������
����r4�z��h��F�Y0���j��O�u0�\_�k�{�]��k�1o�F�g� �F��W���k^
��
� [����;�uPWg���?c�U�c���<4
�=6Z<.������u����3���/?�����
n���T~�eA��E��Y��?ca
�
����a�&�h3�������M��y0�K���� �ge�&����?%@���yp
�<���sM�d
k�EIQ�q���
`S��3K�r������|=���X7(�]��C�(��p�� �M.Y�+�mn���y����R�A��
4(�>|t,
K��`U����������C�T�����k9���8���CQ�����b?c���wI8|��r�B9���p~������n�)N7������*M��2��
�X�
'5�Z����7��`�&7�=��v��f���I��A��0��S8@�r
�������9��
��N���&I�(q.`�S'��Ep�9�9�r�����6+n��\���[��]�m����*�e����U���j�C����l�� %�WCQ��}�C���8 �]p�e
������4����<���|��=^������'�ve� ������A���>N������-?��e}e�f������7mm�*����"n���p-�Y`�u���������l�
'��%
`�U�V�%��q7�f
�����P�~y�Z4��h��`��&I��_j�W�tfh=�N�Z�
jF7#2�jx,)
��q���?��p�`
&��xy������g��r9��@�;�V�0`M&�=
�<�u���t�9�a�&^ss
��`�ks
,�`��f]������):V�����l0c��/�bR��$Xe[�W4���i����O �8@X����
��
����^,��%A\���!��
���:�4\m�[wv2���z-����h�Y�����:�)0�J�%P
�
���� &�8��(�6h�[s�%/���8�Mj`� �~�0�7?��y����)|6@k��l<�|8���[��g�v`k��:;
���c`^�@1 �&#�&���� ����1{c�bA"��|#��7���o,������ ��h���qa���d��F�pL���u 8������p;$�J�
RR������5�-�)���]0|w{��(����6}��s�Q��[?������cQ��q���)\���\\�?=;
������_�?��
�:o�A6�?�Y0�/g�<
&��w�X������[N����������M��
FH�p1bpQ�c,g�c����g�3;����
�
V<
�{�a�����.�����[N�2? ��*J��QR�.����)]����~
��*�
�@�STt�Q����������D�CY����q�{lG������-��3�n�`!�<d�=���t���<���O~��B�
�:��o0������(�w)`*������&�
&����g�U@%��������
+R�AE����B����R�%��@�KV���|` q�p���e��5v[���X������(��;)g����
%���J����&
x��`i�6(�"������
��L���Zv���H���%T�����)`���mPD�����f�<4���5�$f�B^��#"�F�4Q�i�-&��Q�9J�'�)d��p����{
�dq=I]
��z����`�M��w�a�U����C�5N=���a�$�0
��eP�jaQI��-� �N��3�����<?���),"b~PV~
�b���r���7�����v�s?�
�}��
KW�s�����G���������A-�
�R.���e�*�
���L�w�M�Y-�63����}-z:B��~��:��+@�Q�v���|���o^��0D�q#YX,�� �+�CIf�����r������p=�����M����dj]g�I�c��[������I���
��.yb�cX�0N?
�����bP=A�]��^�"�?$&b�(_�]�O���Bm���}Z=����������+(-��8az;�0�/m6�����8���������i�)d~��0m�����7>��B�+C��'�Wq���db�^��9�Voq+
[�}�}`������)�W��������� qU9��v��F<
x����Ik��C�� )���%��2�J�`_��*������@
�k|��#=*�
����
�lm��"�.���ljW�$��_K�����*�~f�j��uy3�,�z�#C��'r�Zl�����0�$�*�;�D���[�g������'��� oZ�����XL�/R���F^�r
��:d�Z��%��{RN
�1�,9
-$~��Nb6�LzP����Y��}�������M�n�W ��
�U
u��I����-�
� �~�����gr`�����!����/��%}cQ��H��vx��o��?��|YFe��^����W������Cq���rK����W�w�9�=����~ 0�!����?b�r�����G��
��:�,Q���t<ky�'�r����l
(�/O5&�w �V������.P��Z?0
<z�a{5 ��9��F�t5-�����:B��0����}F�r)J{$�c~���GJ���m��"���\D�� G����*V�n[�!X������N��$v��������
D���
c�$�
��E������s�
�4� \y����T���*�&��c-7��*�Dx����s&"�`��w�Z
IV@�Tr�$-V�z�6�
�O�9&
��.,[m���JJ
�K�P���=��X�@��vPE�������j��^O��]��%�����j�����2H�k�O����O����ney�%��j��J�d,����L]B��
U��Q_�=#�����(�zA��N�Tf7l'k:QUuw���z$sc�$�E�*M�����(_
�'2J|3(�!�]�f�1��
87q��!e��T��`�_=��NO~2\{����v�D����O�����(�.�m0'
����`%�����j�)>rc
���t�����Y�
6
F��4�UG���
����+���4�Y�
LQ��|��Q�:�����<EF%T��C@v@Pz
�z�
�/��YE
E�AT��������?a8J��Z�����b "'��
����o���.��x��,�'�
RY*K����������;K��P9$N
�����3����
�)�C~7L��u
v��^c��~Zo1qv�� ;mC�>��%5�B!
z�a�d�(z
���i�� n�l
�e�u�
Z]�p��
�"Gk��� �Q_
�@p��
��#����V���7�'))�)����?1�c����*(�Zq�/bi��j���a%�%v�>����.u�*<M��[Omg������5�b�U����8�v�D�����������S�k��ev�2����k����:����
dI��'d���Y
^�e ���8 \,��n����A��
c�%�E�,Y�����=lt�c�j�
Pc5�@��n>���D��OF:SqX���R6��'?����d>p
��_F�������"E�4-��V{�a��a����d���!���d��jQ�G&�M���BG�y��k�%�c3���%� �
��@T��]���6}"�B���4.��� )���-U�8*��JAJh�H��j[c�A4FgX�+!���#R��o������<M���o�|����T��8����_D���r��I
$�H�:�����.
ESBW*U7������}Pp�Pk���M�����(z����H��
�y�����nEI��z� 5.�!�!
�G�Iz/ B� Q�"��d
��V;�s�4��������d�
�DL|[k���V��������@�$����*�"q������}9�kU�hJ&�|@z�J!��} �Z���V��g��Q�8�����u��@�Zs�[���
j��'�n%��&m�l��-�;6��I�,�� ��S=T�r�Dq�
j��{Av����a#V8��-��9/�<�N-������Un��;*�
p\,���Y��
2��^<n�X��
[����*�k&���5h��D������B9H�:������6�i:X3�
e2T���c#M�h,���4�u���RT3n
��0�|�Q�>����v]� 9<�Z��"9�%qm7���J�����@?���<������
5!%9��<�4�V��
�
M2�
�,e��w�����l�ps���������O��2�m�����D����;ym��"��O�O��F��5�p��M�W�8�O���������;��3��pu�1���������
��W^�"
�J?�
�bC �����@*��fv$t����5�l4)�G�[�Q\��r ���WbV�
�u)N'�Ps�=�A�c
�F��������X4�A�����
[��\�#�2c�����N���
f�
���\���Z�
�����kX�J0��)�����C���1�KC��'���*L
��U��K��
t�s����p�
Su~u����\����G��z0X-.�?������:G�����Z&
l����ka�?������?�{�~a�����o��G��
�b3K?
U��}�uS�q������a��z�\?���h���.����dd���q�6���E����>�o��
����-��
��<�h~���!�|4��&�Bn#r�����_������-�O�'���~f�a�]u�6Z�W)8��4���$���5���h�jf���O
!@nFU��|j��!�'��E
W�����
�� P0�]Mpp����$�j��6e���+����wRmc9�|#
��K�B�����c�h `�Rm��B�c���*?e��Q�X��Q��D2���L��x�~������:pS��r1
��0��
#��B�r4Y
0�:�� �q������ A�{K�~P��a?q�~ !���rU�d��Fi��
�o7�>G�����9G�����DL*���/���<�����MG�`0���h�=�S��
�m?D��S4����R,��ZDo�
��N��_�b�MM�
�Mubo9v�)��G9xq�*��]a*��(����N4�l�_{obn�
L-�Ig�f�$}�%���c#�V������C)��)��|�]��R�6�F���'A�W�V�~q
L]p��
P�f��V��s��oA�u��.s���[���
u��"Q��@[?��/=;���m0� ��e x�^��+�$�a��m��N�`<?2���d=���7b��p"�#�B.i����H{M�g���o1@p��r��� �C��K9{F��~Q�x�GX
]���z�J7q�MGO��W���&�����z6�y�����
��v�Gd�F��6�"
S�S!�?&_Lz��4��Q
%��Dk�K8���1��������x7��������6M4>5�f��Q%�cZH
������-�d�����(
��� �q�J\;�$
9���)���h����.��p�9&� �/�8�/
p���:6/t����
� � ��:=��8��t`�)���}
X�`����/�k�
/�Y�l�x�O�?�P��
�IW����x�
J�-�1��n5\�pOm���T}��a�q���^�� H
#�Q:��c1�)l�|^8W������
���?Y���[�:�����0.����f=k�����N�?WS�8�RKDl,b<�9��|������
��� J���q��4
�}g9��&��wi
����
�/j�C
��zi
}��5�IRQ���N�QGei��zD�]�#8��*%B��(�
)�6iVD��/����<e��7�(VW���M�V�f@����"�r��o�w� �;�
�5�rH�h�
��"��D�7��U�i�� l�DLjm�a����>���Nf ��(��b��>�
�X��5hVMC��Y��U��5��3(n�����t��u��N�����D�(�;>^���^m���|1�6�WK��/�kEk2�N �@;�=D�u��
�����
9W�������U��_5��W��a��a��<�sr���80����>�C=$�h��'A�����C<�&b��w������PRs����:�n�C�f^��_\��Q�
�X����[
o����A\�� X
r�Zc3�M��
jb %7
����a
��z�=IA4�^���;*��A�;
��*�oF�����6�qd���g�+�x�A9��~1�2�p���m���C$�6P4�u�������
+�(d�����vKP��b�g�
���m�P�a1��\������kC�F��O�y��
��P+��Z [
�^�*�]�Z7�����Z��D�[�a2s�?ks
��^�i��73�1m�>w�����v��BE�������Q����\��'w�{�c0�
}9� D����;#G�X����j:�TS
�d����5�V�9W�v��I��k!��j��&
��&w�o�pW,��XwW)�*7�Z������c��|�*��p�*
�6��$Ml�I�m��
}�MRVW����H;V��j���7_
�x�{���'�����J
��b[�
���bm;V��k���������:�������gRlU��Cm���3I�����r
��JOw��|���vw��y�2��L:5��{7��.���e�2����,����u�!����������
�rJ1�1�4���.�4m�RV����d���R�h�av��������^�!�X/��r��:�m2��
��mV�]��J
���
�
�<:����n
do�(a�Lw�^.Xt�
���_M0Fn]��4=g���d:
S����j��]�#�x�2D���U �{�M?j�m�������u���Z�![��-w/��
IM�
��8 ��=[
_��e�/����/���<1��5L�1`.a��4��
�/��N?,��U���
�n����/��?�|{u�2q=��y�7�w<��*j�8���~�H��khRA���`�!��
�j
��
�_���y~>p}���+�D���~����y]���^+�gl��k��HBD�(��xX�-8�u^!�Z%ky.�{���X���u�OgVk���)��g��>n��[8�Z�W^���)�$
������"������wF���;W�@�HF�N�
�����@�����%�D�=�
X�J���������>�.q���5���x: �����I����}�*�v}�4IZ�L2����y:�UP��@
2���k�*/�sm�2���5�l���*�zg.�d$���?�����
_3n��Jb�f�
+�I������&GlN�"��~����/%�Q @)(���s�,�bn�[ fq��������4�R��V���U��&
�kS �X���O6
)���j��QG{���g�������dXF�O�^m?j?�gJ;(���+�
.Mk��{��ib�5�e&
+g
���
tln�4&m�������dsS���,��O'�[��dNp���{�eznQ�����!�=��z���i�;$K����i��r���vP����E�v��'�f.�P�D��q�N���)A�M���>\m��Y�n5���f�:��fRn����f����V����HL�f���E���%{0-�ZPC%~[��.v��,
��6q�iS7Y��Ln� �[S��i�F�-J[J�
v��%�]�~��<f��lw��=
�o�i,
7+�4������|��/>��Q��a�
9�-��������i{cvu��g��2]���:!����zu~��=]�D�N����*����i��^��
����������1�8��Eo���
����[LV����.��,��u�Q�d�'�� ��kKG]TdV2y+���a���R� ��g(8���LAO��B��j��R]M����K B0LyUS������K������+�+�\����moyX&Y�{e�
o��0��N5����xs����'�����_���2]PY�w��a��fsj|~��fK�z[?>�V��{5aE��K�Vy���vq%k��M��n�9��]��F�__�e�R��|j���������0[z�Z���N�G�`��[�% �2��l���5?���i�H������\n3��/6�u���t�,����>Y;8<=�}�rD
�zk��
��&K;
� ��|��
K���� 6Z ���r��
��^�3�.~�����<i���X���j��O�N[�������=p��O���}
��s�gv�W=��Cw?���_FW�'�����7?�����j���������p�R��Z�d�Z�������M����?���l|�S�Rk ����14O�����a)���tG��o0���zw�x��x�m�
�Y_��B<n������p��>^6w�v|��|�j������/�H��N�/��.%��*D����3�{�Y9����gX��U��7yqim���S�"�>�C��Xx�\n�
w�i�������3��}<+�5���y�q~�(
8��������V�z���mV��
5����=������@a�y�
^c��*T��ET��i
����v< :�5�#����V>u�
�����q��V�%���.��f����]���]Hmv9���*�)��n���+6Zi�����M�^���2��
�
o33��s"�����O�� �~j
�}��
l��M�uE�X��Q�h{w=����E���%-��5lt%n^$�R)�{F3nn�p���d�G���um�s�`$[$���w�#��������S�����������W��m<P>��MyIQ���M���ZG�
�':�f��� ^D�Z'�{G����m�w�������W/�WV�A�����CG,�~XiB,���I�e��������"h���o]����}�Fo���}fu~������H+��F�~f
1s������w�;���t��k�q�D ��_&�B�f����j5OTZ�W��r�D��=7_�?|A,���JY<���\J��JN����0� \�'�E���6WWC���<�����]}���:7o��N*����U/����X�*�S����:"��!'!��SEr*��:�um��7��M�9>��~��)�k��_�U��Uk�Z���nb(�9~�7:8<�?9�}�i���i������S����N��~��.�G�����f�xW���\��r����d�%v�����Lk �������/�
�U�v�f3K�I��w��2��`� ��_��OI���<z��������B
���^H��������(�QW�n4+Z������=���]6�0��
>X[��~a��\������[3��A*��,H
[/�'o�x�{����
�� �Fk��em�����fr�"�z&{\[�y�#��l���B��5?�@��k
� �� T����r]�)
���C���f���u��������G[�$jmRU��a��F�
##��m��U
�,�16�L����%������U^�]��������\���a����p
������h��b"`������������{d.N�����pbU����B�>A[�^5m�{)�VV>onfj�(qZ��4������lK���a-�W��J3����/:�k�)w�~
_�Ay����\O������Z����'�FJF(l�ZGxoZo�p��z�K��W��
~r���z��yn�����5X�M�kz
|8���;�N��|���ov~��~gkgu}��z���������q,pO�c�N����!>��%X� 2!z\<�e�C ��xGK�������F{_��}s���r��������2�������+�Q t��V ��a`����f��_w��c5�}S�6.�����
I%O��C(�����z�������������I5��@��F�,~�f�������J���xn``�C��ZG��Xsd��5P���U N���3��2�����N�\��@��v�{x����$�|r~%U���G���X��* �m���u��>����Z\�����8�����}�t[67�B�v�b���'�
��H��x�C��X��j\� W��N�035s�����W{�g�/��E/"�}��?���GGqh�m� .��~"�Q�V
�Y�`5����I�^�!G_���4
��������3��kx �
��)b��e�/��2
/�����g��0p5
~�$_=����|��U�VkPv�;�NU~�n�
rL�%:�����{/$�������':�]�_n��He�O� �H'g�>Kg%��I����!6+t���4��
m�`�~����u���~
�T�fR��mG�������>�� �����j9_|��=lk��Q�&������,m�0v'W����'�6���?[��Y�d>���)�B�����&� O���>\�.��m
a��fG�
�
�k�=�[1s����6���@���3��4�����b��q�w�9��&��j�������XZ�j�&�ux��V>�������q���������V
������STd$��W�P���zdu=��l�J��^�'o�4i]��!�K��]��q^�������>Y�}�����y�47>�>^��V���j���$u�Y��-v�����*���O��N�����V�+c��'|�����)��,;�R������������n��Kz�X[o$N����I�;��f��16�"
tekKVEoU=�����)yb�/2��
����D?o��6��v�<�'o����T��U��Z_������'���&-�1�~=n����,��(�
O��
s�V����9��W��G��6����G�������+Jf��M��c��5���Q��t^�
��wj*@�^�z�r
BL��lm}���[�����
������O��
�
�z{98|1_2�/]V~���<� �y\Kz�bY��P�q9�������i<�Y���:�0@v�����n$�b0S6����GS&3!�`:����M�-w���[�����-������)N���o�������'����
On�;������>���t��go
�*no(�p��
?��'������uH� >��iH��j�t��������3>���ma������4����F�K����:,xHL��\3�~�3~��%._b�����
���]��H:���o���?��}�����g�4��;��|�H����w������[�v�?���k�����[�+y�����[���W?}���u��1��:\o|.7.@|U���`��+��>��
�#�gCC�/���2�T���p!�=������_+�� �Y����������������
�h�������������W� �
�RP���&��l����A8�� |��.
������c[���������[�>���KO���b����/<�R�Z*K |����8W��)~/��
����ec]_�c&�U
������S^��F.���7;�f��q�����S����i��{����#,�`���F��+���O�K�����$��������1�����*������b3WV��O�����{��1�']N/0A�3����U��
|��|-�oExY��
�r���G����y��6��v��f&�<�����JX�-/8�\�m���x|ku�����UGY�p������,AXBVK�6��Gd�5����b������
��|��4�{�F����� b�j����� 1\��N���
����y�?�S�g��������7��5zg���
��
T�ow��@�F{>���c������R �k�?�"��i�wc�,���E6�/�?|����=9<8|���K���j��;���M�g��[1���%2�]���D/Sy�:����K�8�}��L�J���;���_�
B"/�f���(&r��*�U�M>�0/��
rU��
l�}������������K2s(�*�;K1=��@����^����x^�G�~s�_��������`3@B�R�*����>�-V4������(���`��J�������2�:W 'j���G�� `e�
�����x�c���8�Z�2�w�qU�R�/
Gjy{�XT��c�G>���gN
$+����YX�kk�����q�q���m���Q�M`��;@��a������.�2�9�:���e����pI'�@�0��w����(�B9n��Eif�*�m[`���?�� b}��[�i�q��������O���]8���l\jn����8�lr�[��v�2�s�Q
(���Ot���`5]
�:2T�+�v�1��H_>�����2q9�d(��7�^�� ����hU�&!5�+��t�`)!3y�.S��
�q�1E1sK&K��$-����ED,�/ ���Q�2���5�M
i��-e45��"oD�W���0P��5����g7���a�zr��f|���Z��-�v��v��Gn�E�\
~}��;���0B�PaC� ���7��ZHjB����_<�Y
_�?���.���0��H����N���P�Dg��!��2�T�5p��\�&ov�{:3z��|^��]�W����_y�J~�
�|[s�_�s���<��t
�TI
_����(Q��K?��:����k��`'M�(i %q@:�A� 8�*��
��T���si����=Y(�-���� �U�����KA��2[���O)�$����y���m�:�u��eY���&��d�,H'���
4��?/~�:�WG��������+�T��&%%���f����J�<���J����eB�������/5]2����bN��wL�b���s-28��?c����0���7��8g�R��]f&�
~!�*� ��
��po@�a;%ov�������t���������u����v�hE^hD��`
M&������M���h�
���/_
��d����O1��?l���i�w�;w�u�����/i��^������!���'7�k�''G':tM����
?�;z�?�;:���� ��\��/�x���|���
��S��g*Oi7ho�.xg�o1�|�z�2|mu���������*,n�#��%�o��������X���h����Q����Hv����Uz�s������*Hc�C�f���j9��x��&Cu~�O�u\'������7]����������Y��t��5w���h��}L�:S��$��:i��!h*��:�
Vu�oI��v�3�����s���
��@�����;D�
-� �4��zm����ixr��iY;�mi3� ��?��X�^�y�++��Z�V@���S ��Y�T���k]��u�+��Up$��C�� ��){��D��z��,Sb�I��n�s�|�Nb����T�
�W6�����3����v�)�
c�aZ��YK�CVo�������K��dw��&
�\������R���8�����dr# 74��5@�3,��^ �O�9!u
�
=
��j���������<�Y�'��A�+P���_��
���������_Wf ������m�����o��GC4a���J�f�V��r�����=�_cew�OG�|w�!�6maF���0AY��z6��9~�(�j��}���������zICz=%����:p��������>X)��n���?^=�d�(S���D`�����b
o������Xi���YV&���t�����������fQ>�����L�~m��M�C:�Y�
��.������-G
U����55�S`N�(k�h��1��
r�MK�(���@��|��'
��G����4r]�KMz����-+P���*������� �����������
��h!����6�=��og���F��d�#i�����9"
��������9��>[��������{��5;��������b�����b�_Ya|;MkM�k�VM�Z�W�P���~�xkU1��l�o@
�������Uj�Xr5���;m�Sc�5��}+}�t �b�nJ�
2p��)���Lx�� bkk�z���]����3���XM
��s��������&�0�&��k5�-z��D���eq�^(���oaw~��Iz�D�����m�d����NU���0����T���u3.���T{wg�������G�/�'
]�������G��'���)�����
N�h��Y���T�j��'I�imM~�
\�����c�e�o��;�Mh���1]�����osP�������D������g�����6S����s<��?��m����~�����{e�R�o ����5��:v�����
*���Eo5is�5{K=
+��'
"��X��*Z{������<��z��u�~��J��~5�/�Lxu�wW��3��!�IL��������,���������n�>����
6 �w�S�M] �V=�����H�����������g}��\ ��5���x���
���XK�����=�4/�r6if���ve�.UQb�q���i��~�u]r�_��>:
���5����V�7
�����MtK�����t�������M�e���&��������?�����Z}q���:n��uZ�g�@�J�'�\������������U�r�6
�
+cmT�0���1)v���^�^>��U�I"��������o����k�=�$�����u���6���A�����Rz
^�wf���w
y�R��k������1����-��0E��U{
�G����Y�����*�OMx���}?3�-�`����R�CH������g���
����� ��;�1��f<���'�����*�@���M�I�A��
�.@_"�
}8����#m�
U%1��Tq�o5
���k���y���3�t�A���}���n}Q��7��$��+`�e��
��46�����h�9�s������
l'�R�b�kx�����z�����a�_��g�'���~��?����y��L�B� L����
6��7�����g��P�cm�3����'��U7�5����h����
��� ���5����zG�_�{}��X�����bB�v����q�P��6�_n��O�B?
m,
���Y�_���{���_Z,�EH+�r�
:�P�����m������.\
�
�3�: iF�V_M�����������m�������}����*��
��j�E��W���� �<z{������"l�@o�9H����Vo�pt����;o��Wa+��>��_��c\�������2s?��R���t�3�DJ��k�F'��;��� �N�w������^����/wO�����H�M�����������3����#=�����"���=8��x6��G��
��7~G��������O��'�-�_Y�C�;u��b\PkdF�� ��tzw�*-�4S �6w7�m�������?<:=�����[c=�eY����U�"_���o�{������wW9�^�p]z�u]����K��=����j�����q5
}���F�x_6���d�����^���f^�I�l���'��P��r�S
h������Z&UH7\���%��-S��54�2srS�q=;�p{;
�0.�������;����{�.�/��~g�N"�5�a=��C�� ��`�
���M7��S�qC��6�4�
���)��Y��� C���������U�
����T�zpUN�Ok�U�9�Z�_����~l��W���?�j_�&G�7��-��N���x�cy��v��
�X��.�O?e��`�����5�j%���7?7���no���G�����Yj�� �
��f��f�?����
���o
�+��8������5s�[�T���X�~���������*/���
a�
���������[�uq�'�s����Tu�4�2Z[���C���������=�e�������8G���D�kru���K����Vg�k�mB�� ,0#A�������������ju���U��
~�3�Z�?�7��V����������9��Z�
�|��j�U=K�^N�@WV�R1_$5�G��/��G�vtT5��?�X}6��yH��8�)n�`������w3�o�[���J����LkK���6�
�w�WvWQ]`��CXk���
�Lo��/�K��K6��
M��V�����0��:�Q�D(8���a������G���uzKFF��t����iK1�<7u���L�|L���_4y�}�6�
���b�����H^�`*��e
������W���M���{z�q|������<3�e��<vS\\�r|I���R�
����m,�3
��r�
�5�<��T�lo;E��ed��|�94�,�
�J�:�n�
j6�Q:���s<Y���c3o����u���6���������?9��
-{o }?�Vq�W����V7i���N#����Z����s
!�#�;�j!��`f~sG����p� ,�
w��|y���
m����#s2�k�.��I�3��-���q��5h-�R���ED���jT(7R�W6������<^�jw�h���}% ��^�O���P����~ �P�l��'c2�A������n�.8����Q�)�e�T���
R��b�������yd']V�������l��v�}�v���t^�W�7j�~�.�w��i���l�K|�����?�B[
�0�(��8��q\��=��7
�_w�I�~�)�`������Uy1�o�E���*�
�6Xo��1�����r��VS5<inG�,���y�S������7;����sq�sut|�s�s�3=���n^��� �dx�^�5
���E�����t�m�6�dE������P[R���H������o����m�:��V�L������G���M�3�;=>:={�K/e� v����M�
�
�Q@�`����%_�8�u|~�.��j�U;�^
�}MG�����B��x�X���B+��.3���$�O�i�Gg:��M�r
C��3�����N��>��wYei-?�� ��/s7H�$�����p�`����B�Nl�����:�*fK/u��,x=�a�����������x��~��X����S�h1D���N *'���6��W�mD!4^�|d��T��[����������� ~��=���#GN
_[�5a��V�P
o:65V:Q���I�����-eT����;=�=��:��u��7��M���zK�P���ZY�SQQ�L������������o�w���U��� �
��
�!(�,SI��� ������>0�,�\���F
3���=
K�<�w�5����\��ScM��}i�3���}
q�&�����eM�~��[:�
z*�\����
(�.��7�kRw�^�M���(F����6�/�n�j�h�0|-��)l��w�B�k7�]�K`�� �Ks��~o����7,�6j��KM�77���8��%J�y7L
�v�"IB��tg1�����>ke~���y��O��zr����Tm������9
C�V�H���[�����8�A����pp���q�r�j}��F�l�m}���g7��DFMM
��������
������n�:�
����Hh
/y$�}/������r������u8�
������Sg���yn�CL�a���{�����o��X� ��4���
�4,�p��G�]��b�I���j��%��q�BY�M�f��W����<���W���>�}����z��q3t"}�
|Uo>��_M���M��]�gR������<�a����Lk������^F��e���;�>�7��&�^d
�����~����{�}~?Ml��Mb��E��
M�E��O�F2^$�${G��)D��l7wg�
�l����DK��Zyw��-��J��#<1?u_�����TJ��]>����j��u���K"���*������n���\�k�4�mY��/1�F|6��-e�<G���7��m�Tr���:�'���oG��b�n}D�y��H�j�v5��� L_���4Zt
8�/���Ub onT��
34����Cpr�W�@���M�8�����#��!��HQ��1E�(�����:���&�mR�,R1�/.M1>��'��y���L'
�D�4�����+2:
��3��J��KDd
B��Ak������� �h�*����
�b����
�
�Y
7��>:g�M1�
wB�
wt5�\���6Z����;�1��rj������^���;;:�v����T����/�*���W#K8�;��1+����
w�>��lv_�
}����������
U}���z���
��|
���M�ml6'��
��f�w7"��W�f
W�F����9S����TXZH��k~�f&\��������rW�f���������,��iX��~�tLr��?Yuo
��6��zn����{���3<ut�������/����)����
�V�������w����� ���0��!CT`�����������zm��)��H['�����ZlZ����yt��,
So����4�E�����*���E��
�)���n�U���F� |Op���)�K&G�K
:��"�����@�_��/�~}��:
:X���{&8�n��KA'U�-*{TQQ����j���
��.���um�~c�{x"������������=��SBpRqk
Pg��"���N �TO>����`bq����
��dT��J������8v��*'�Ko9q53�B�5s��sx`�� qQW���������=�}�������}5������"W��H������S|��i
6 m��s���u��Z9���P���Wn�������*��/V��S~���F��kg�>�������������D�('8�n��6����?�.n����
�
����DHz�J�c]�s����u{���Z�3�x�q�&��S�����[�Bw��~���|���w�Z����9���u�5
.�_��
���\��W+���,���e�
] ��3������D��j��&����9wo���<:z���r
3+-�E2O�.G&�j��o<�1|�yR�������// ���5_��
��:���[��,���
�o���e��:�6S2_<����C��:Z[_���WN&o��
P{�7Z�a��s��H\�HZ�y<�����Q,�7��
�ym6E?y�������O��^�
�����~�Vs�zR
����Qi�q�My?��q��FX��g��_���v�3�))�c���.��Hh�'A��G|��X|l5~R�)�q7U��KP��vtA��D{���&���������u� ?��~����=,TK%���W��_���������g%>�����AQ�T���v��
�[
S����?�
�,���O��%����,�V�m�Kg�G���/� ��b�~�����#����o���
P3��tj���ov�I������������� 7��Y�<��9�gc���s��
������]����y��`m��m�Ar
D�h���wWY�9�����=�j��/��HBV&�����Q�d��L�
x �
�X
�J����5�N��h
`Oi�
���t�"=# \���f:���Fo�JSuN�#8dt��\��������a
�����f� W3iu��/�������}�v��l���L�2
*f�:��>k`Vq�O���:�W�f����.�"���J���wWR*���J�d��,�#�����b��6h�u<��V��W
����Z�eY n��������:
}ut"�������Jf7�!X�:+?C��0���,�8��_m��Z�Xk��r��/����0j�+<���|�
�#]�h�[�Wz9�G�*mV����c�b�A�/� �����U���.2]�r�}NU
K�}����m�Z��ip�j��v�\�+����w���(H[�3P�2����l�{l�U�E>��9N
�w�l 6����`�q+FCY�Hx;�)Z�
G��V��&�^�Swxb������i�1������5j}:}\�l��O��� w,����F
t��+�3�X�D�v�V���v��V5�Y��Ai�q�*m��a�b��iV��6��
V�b���uL�`��.�&�v'�&��m�S�:����#V{;fR��q���L|�$���l�.��)~rkLN��R�0S��Cc)�gzT6�Iz��;��~�w��Wk��/4l?z~p�b���Hs@@�l?5t��I���@������ �V� L�
�2�>
k�{��;�D�� �_���
����
����5�v}�����=|�W���W
;�Y�����\aI��\�G���3���O&��^���r��
����<��y�b��n�u��W��W�1����������MWLD�o?7��8����F��<��V;V�P��IS
k���5
��$=&*�?,+*TV���V=���Jg`��p~�lm]M���Zih�����t��-s��=3���0�oy��I�g�G,E'�9g>��V7? S��rv����5O����@;c�#��[SE���%����^,����3.D�a
/w�a��s_���)��Y+-��,l���
���w��*&�����������)~��<����{� ��������M�`� -G��2[��-�S
1��~10���������zJ�����4��C)�d]��4{Q>0��W/)a���J�0�hgx�rN�0J���2r�����W���IJ���=I�����z���l
nK�"�"�M���[��\��1����d�r<i"������^� �8�z��X�{<�J/-����;� &�`���D�0�Y���XW��Qj
H���A�?'l� �77��9C
���Z20T]Y�j���"����y�+A��L�#��?�3����������$u&y��?�YmK�t�9�2�Xz���_e)�,N�����9
S�{T5}f�/�#*IZ�CKU���t�0�f�Y0���{s���~@J}o��rL�un��g~;�����.����6�V�`� W�A��M�-�������S�YS��R�&���J��@���T{A���+����Z3Zb����@��U��;8���;�}]�!����J����w�U :�B����n�;:<z}���}uO�����v�.�r}>�1P�>������+JW�l��6�M�
PJ�P=��p���H��UO�k
������k�RI�UZ�R
�{|��N���Xo~��%j��.����-�^������~�*K
�7k�
�1�-�XA�M��Y}J�K�KfU�����d)�I��1�N$A"��6�%�������j�$fir]���Uh��� ��Y_\��Ew8nu7b�V�p��dv�� �x��6rd��'����~�{|S�� ������s�w^?o�x-|X��9 C�zW�S�nW_�,��7_����+��A����7[�H�^��-�*�"�������`6W�� ����������/w���g;�w��~��Kk��>�?���4��C��1���A'|���������!����
���.sbL�aE���*�M;�|e&�~����X��}S�7��4?�z ���
3��~@�
{zI|�AK��Gh��T��%x�_�px}��=g�Nc
��]5��S��1����+����Y,��J�)'���8�-�j���]��;�����,+���u� '8��1k ��b��h�
L7�~m �"�}�������V���I�o�}��S,���43��F���?�k��q�]pM�.
�
�9+a��;��Z��V��t���+��5���TX'^�79 �o��,qR��2&�:e
�����V��y+&���:����R������z��>k>��
�e�x3�j(����:��s���h`+��&a�����;��Z�����\6�mo>{1N��Z}������O��,:Ye����F��d������m���#`�a5O�������p���X�l������n��/��)M�`���n�7���~���r?
2_���o� ���
�����
���p��J*��l�u{!7�3
��$��\����;�_/�<b=�iar-��T���U���o�h��}
��O�X���������c�7�
�
>{;��u���������\�E��O�?�|Z>�
�9���tl���'kb9�?]� e���b(X;Vw
�6�����
q���|h��bN�9e�<boo
��}�r������_^>�~�~
�/�
|�O�&�'��O��_���W�[���_K$c
����|9:>9zq��j�3U�`=�d
;s��U��aQee�W=n=�c������>z�c�-wW��p����U>�y��
�y�����
��|��9�Rf��7�u{y���Kp��&��xC��e�P�~�*ZP���'�xQ�hf���x^-����T~�?����b+�����6�Zi�M���A��(K�����.�IIk�1��i:fN�t� ��jhg���e��������N���X�1|wsC�H��kO��bX��F#����>�8�/��c�6}� �VO����n�y�b@�>W��
���m���)U;��'���k��lM��Y�������h�z������o�-W�n���0�f���{���
'����Xwk�8���
"��ob�toV���Wc���
!�A��^��zZ��\s�=�OL�h 4p}ur�����SA����e(ua��waG
����aS��}e���@A�N��9_���f��~
���e�7
�8�z�~�q����-c\������c�h�PWw�R&������)����i����� ;yE�X���k~}�����F�D>m�
[
}w��������k+�[���,�Wu��e��g}43w�>���s^�8m!�����~Xs.�
�i���
�7����3���?��Uu[G�E��ax����z
.0��Q��\��r�_�x��
j��
� ��n�}�r��P���V�z���?s���^$��eDR�����v�1I�#��v�5Z���o:x�4���G�8���k��b�f�7�jT����������z]���m���;�t���0K��Q
�d.��Q"�6ke�-�Z��
���� t2�O�#T���A���������g^�]
?-yk]m~Nh�p�R��~�z.!U�\�g?����w xH���2��t���4�^�z7�M�������F�"
��i
|�AY�Fn���Y�u� Y��6�*���=��H���W��Qa���������s������/�5
��}��b����G'g�;A�o&��&��xc�>��5��>��Xw%��hc�IQs���)�v�9&%g�k;����nM��E�T��@7��Xf�n{��P,|��%
��^��m
'�� ����O�a�g�>������t���.a%�B�������Z��S�f&�C:�~m?��p������_���7������W�i\m�p�_���V�v
j�9�����
���*�|�3��}&X���$�Z#6���Vd����o��y�u�
Ky�oNz.fGD����?�r�
��xS�$�r�����b���C*gq����q��P��\�%�R�-��= �"���G�k�r>�5��,�j����W
l����_�(ZhE_���<W���h(�[�
P����5�
�2t.��Z�����{��
`�g�����
�������Y����O~�6Z�,{0��c?� ���k�
��t������sH�y�d����Np"^Y��Y I�����������2=�o�6T�UU��v���N��GT����q��0����5�WW�H���A|+FVM�
F���kb�������&�ez�#DL����mkw
��w��u�������/.�O���6E��
�����N��:7r���o���"J�$���?[��
kR-%�
�q7�Z���r
�P�Z�!��V��>7��
��3��y_�����V5������g�\
�1�W�ZV�:���@��M�0v�z��>O ��=Fe/���>X8����yw���PT28���o�G�S�l�H�����w����8������7t���TL����_�]F�Phhh��
���!�W��q���k:��&���VZ�H�#���{�g��f�~@��e�3S����
��H-�?��-J��C� ������X�iK5&qA�c���;a�$�
�������\V1�
�Q�tC�����?��x>������Q����1�m��Ue�!�HA��Pxzq9a��
�+L2�\�.3�1�w��ACa�]��J���������2[.X���V�����L���zS���ttp��Y�_lOo5y<0l���y�
�|j���m�����8,�Xe�q�]Mj��eZ�&zh0���DZfW�HC����
��56��h�+�_���}XH�G��O����{��cx��������m�����52������|V��n�F9Z�MJ����w,�l�G����L�z!�5U�r�}�y�*f�Z�����4�|0�7� ���v�g����HG�_+���U���E�O�xg�����N
��'|S\7����Wa���i�����������=�S���[�����[ &��� �6c�Es�1+.�[F��:f�mscU�����O%-Q���A������-��'�X�M�T������Fo9����&��%@=��m����.�=7�F �)l�M�{��go
��]����R,�/F�iA��� ��w�q ]�V�7�Ia�H����U�T��z%�2�s?�4��U�����0��Y,��)�ubc�����-�*u95�P�k$'�z
�^)���B��w����.%>��4�6�Kb�(��M
�yE�|�S�\L�Y���T3
��K�bf��6A�R S5"��[�_�+�[�
\���1���������OI��tq[e���������X��+���Am������~�;��=�����{��x��00J���&�S0@qrei�'|������W�G'�'�*�X�'�I������F2*��>p������������@c�%W���
�t1�������� �5���@Jj���B��5�G2�[�}������>H(
��>E
%������3� ���:b
v���=;N��]Q���<�,�$_�UH�`B������^t�
ud��m<�Ul\�8bm}�1r�=nu�x����\����AC��f�i+�t
�
���>����^�FI���5��@���h4�N��~����t��?�9S9�u�KkoW�>���j��1�p�����F��s�R�x�� ��k�
4�fW�7������_h+����OY�!��a/�<�~�*&v�
.���
�����wq�Esj^Z[6u+$]���G��� e�D�
F-2,H�x:�Ys�?�5�_���/�/!5?3C�$Z������U���w����1e�.�����v��W��3�#�4�#������� ��cmA��T��+�����a�-s ���gAAi���x& �\�����>���jb#s[� 6����?���������`���;i�Q���4��|�P��!3k�>x ��E�hp��[" �5nl�M���V[����
_��8:-lL��>
��R�����VzO�WK������>����G
�����d?����9��we�a�|b��s�4�4����eW����im
�W#
�E�H��j�Ur�.��MzH[
�b;�V�9N-�hemG)h��6|�?�~��m��F�� �:��tB
��R�����s
�����(���4
�a�(���*^eS�������n��A�U8�=��G�
�
/�zx�l�����K��e�
VBz���]
E��
D�o`��5
������u���e#�*M
�GpZ�������fN��S��aC����#��i�,�ia����"�t����uC��&�c @����~V��&�����q RV����L��c8�.��Q����������fj0�*3V��\�F_X ��j]�����xj�~71����L����p R��&.
o)���:j��|��K���fq����������b\�+(�����8 �k�gh!�D���nR"
��Vl[������V����#+
�F ��Y�
�IG���s!~�����cy,>/$���|o|
��w��I�bo^�Wu�k��k����\�i����� �������r
���k�E��
7�������I��������u\y���[�����s�����l�i��Lh�Z�`���^[���muE�f_>���O��&jI�ff> ���U�����d�|��vQ!���)��w�����Ku3�������Y��(:�A6S��3#uZZ��N[n����iU�>U���;���O���:[_#
�Vm��� ��D�;ysM[��-�����x��v oE\���yQY4��`�c����������"���[���)@hW���:�����1��j�-#�������^b�j��v�k��������(�_�X����>&�H���Y��$��/
�S=�
"^���N~�&e��)7/9�);;y}��y���y�~��U�y��+��X��g�����#����[��
�2.���6�T�1'�y���P��R
�hW [��X������n6������,`B����6��p��J+J����X\?�
'.T]b�������5-
���L��g�t�Q��O�u��]�^]�Z
�+�}�/dU��FW���%j����������� �
]-"vH��
�D��~��{
7�$_C��/�v�jm���tG%��U���P�e������
<�������Po�y�������Cj���c9���S������_jz;{$��\s����������e^D��AG
��]l\�_�����G��Mg=k��kZ����MB��3�[���}�D�t�����6��|j�)��
g�k�S|�J�e���������qy�0J�����!��3d�_Z�Y�[���~��fp�M�����7�����K��ELK����~e�x|)w�Z!Z�%mK�<�w��������w��JN������i�Ssq#�.�9X�*��j��:L�\ -�������C}���t�Np�
+��Z��qTJ������*
�������u�4����H�Z��x�?z�5���3�fA�����03��M��W����&��~���[t�)M�)�Ns��������8�����{��3�^-e��{����?���K:�����z��S����3�����
t���S������~v�V)kn)kN)����
X�v��b�Y�K{��}�=���R����U�v��:��K?�rb����J�
P�������a%ZQ���S���Z�~^@����
o}c(:J��H�v
����a����������%��(�{�.
6��Y:��6�����U����/������^��������>�����0|���U]q�������z�o������vO�F����w_d:��N^
�=5
^]�����.�6�����prD]S��4��3"�<�������o if:b������jo��G[b�J�,z���7�{\��{������h�K�2%�J�?�7��tq
��n<���5�
����h���E��N,t�?�O%��{�us
"��k�c��A���Z��B�R��1�6k]G��N����
,a,��
�4\�*��I���h�)��_%-SY�C�C��/�uMq$��6�������$�O���qe~�R45T9
r�S�O,3�}}��o�&�Mk�}v*�����S�ii��i���q��[���I-� [�)��
�#�np\-�H�c����n-7�V���^�f�?���!i*��/�(��opU���
��ku=i9p��G�&������O��
~ut�j������������U��^c" ���p�;���Fz�M�<����C��Li��.����
d���qR��8�G
���a�5�8���(�> �6F<����5����u�^=���~�� �+!�
�:=�����5�}<�81�Xf�[V������\�.����`�iv�������1�����L���'{8�K0GI(�|��vsy���X
Y��Y�3����al��o[������{Q?�R�I
h��XW�q#��g��*A���9c�b���t����>�Z�n������,��L����O� ����5
]N��V�k���w0h�K��+u�����������ZO,�.�����G�
j��N���Y3i�>������4E������u�u����
y�������[e�*c
��N�5��2���"nzm��������N�^���rL
�
aFn�I�����V>M��
[X�}Bn'����C��s��^�����Q��D~�����^�p��*R%(�?a� W������q��v:��{ ���&����4LF�`aU���m��%,�bC
��<���
�5�9�M��n��jr��$�m}u>�Q��y^'F��(K�y������.���4=�bzz�����.��I�?�Q;;�;�;���������������iv�~���G���ye�����a��^?�����D7N��D��y�Uk��u>���2��_�M_���=.������V�v�V{���yv30u�6�h����
_cli�
i�J;��.3U*�|w�-m�X3V�9�q�b���� ���dc����4U[x~'Y!��t�eo�./&�m��;\�
���
�V�!���u-'p�
���*V����;��F����j?�Iu{�EU$��x���>
���,-t�5T��N��y�
T����{�| ��(���Bw9�
��/`��_���:���6��I�o������f,��O�����zc�wl1:v��xF��W�W�����7�N��b�f���O��2R_�R��Z���t����T�,����9:}
� ��
9��&e������{c����o0�S��jq��J���%��Y;c\�T�L/w=����f�����U�L�8�;��f�����N��Y;�;��#v������8��i
�����N�3R��W��RZ�Z=X?�_�����fE����k�~����� ������^��I���3M27/
��{n���
����4��x�z�^��'�!���Ki���3x�e��%������TG��Z�����PHsI�D����4�7�5�r����X��Zo<��!�uD>�6#]��a#�}:��F������&b�R���y7o
��N>��� �x����s|�
���D3-�q��0�b����y���s�np�fS
F�����e��
�L��+�������������E�F�~�6z��_G'U5�v4��e�w�d%l��<�;t0w>k���X/ ��/�Y�ok�����=m�}����g�[�S@|��YOoy���
~9��������/�G{�O��L��{��
�J;Q�����|`�;rj��b�������',s�����R�
X1�l���WS�"SS�tM�}v�{x����x;G{/��w�����`7�6=�Y�e�v�LA�{�zUQcEz�M�n�t���T����q)�o���V}�~9��`'
�m<j�u��XS�U��������/:4VE I9����&����
����}x:����LnZ%��������e��]u�����^���8c�.��*��~�[�O�#�ZE�Z�@���
�?�
L�^����kuh�#�X��>�R�������)
^Ra�2���(=o���c��� C-L���<�tlk�3Z�
�j����{�������HC>�~����z�fK5��o���z[� !� ��{,���� b��p���uW��������I��x�7n��t/�U��/��.%�D�H/^0����;��7T�?���Zz,���{;�;���e���km
w�1�(���t
�2�f4A���q�+B"�ob�g��y���X��������g��n�,^��V;#�*����c@k:^J1�U���������f*�
b�����&o;��k=e���U
?+��o����O���k�'���wn��Z��:�Y�Ik�����>k�o
�v���
/26�v39��z��������x�q'�����
G����db<H�����Z�^��n��J��������hT?�zc����J��&a
���o��0���n%���3���\�0Z�����G����M;���������
YA�l�^R����2�%����$������5���xc4����'�&X�K�c�DK��~�{�������;�
�����G�g'G/EW�#��
�����������[����9�
�/��V
���k�XN;TBGK/?���}".��?8
�'� �M��Y&�E���������rZ3�����ic���u�fPU���xOWb����tIb�xc\3��k���
Mi9$���(��S�~h�����X�Y������X�u�
�t�uj
��@�h��SsL3���krG
�����y�+Guc�g�
s���R�������;U�2�����������j
�
y�2��3�j�a}��X@{
�CzE�����>mkA��W������
Y)�]����.�J�:�s4��QI���s'T~��]��g;QZ�o�5c��E��bkp�����B:
�[ ���m��wG')������������������2�~'3��u���VG���2F[�e<
g�����Y��t��*5_�Ljz�����33�������v_;����mEy�y���|{���0�|��R@=�\�����0M�i ���^�����RG��*��(�@�b>���~�/dK�Ws.�y����O���o0&�������j�������/U`�cK^�c{^\a���8�T5 �
c����E-��y���V�$�5V������b��N���N����';GEq3�y����a���N���X
k � �!�����Ku,�kOU����f
����jr��AT��w/���-F���f��
����Q��6s��+*��$i�IYlo'Qf�;���G��}:W
���b���q�b�]�cK��u'��d��2�������.�P��p&�
����.3�Qa)O��?�8���|�+h+��n����{�[&6��&jiKvm2j�&�
I��H��({7,��}�,�,L�y�X-P�T���j�c��`�T��d�O��kV�if��oG/!�w�CD�&US�I�jJ'���>���j�
M��~_����FwW?_M�^=������������ed45�P�G�����z���:�0N����X)�����,So=�;V:�s� ����_���������0�c�
����8���=J���>��6��p���S�I�3�G )I0�F�����e�aE�[�����$�C���n��/T+��Ym,b�y]�l��k���������������?�D����i!���
����������)���t��������#������s�|��^]�c���
<���9-��;�jR����x L^6�o���U��95z}��d����<����/j���U�YU!�[9�~'��MxB���4-�.�_G���L���K�
(���w�,���G���(u�t{��<7��(gP������� �� ��/��Z��WG���?�#^oO�������
���S�uc�%m��o/&������~�����w���"������C(�|���<�2��a�}��S���tz���NZ��o<�i��*�B�d0�� Xh�c
w�����G����;��������oR��y3L�����G���0$ �l�&������,�S'
�:����������G����Xng3��������nQQ?��u�:��T���Qf��,�
��f�����J�5L����5�H��Z�nA���V+����$K/���u1��*b�`j}���������$��Lhhe�
t1��;�~urtx�����*��s��=�
�j5����!.�n��>
��
����)���j�+����6:�Q m
V���$���[]���t1���k&��7 ��
��3>���~�t��
Z���kW�(������9��2&�
�))��8���
���S�j��ip���H���Jf��[������+Y��
�9r�\������u���4�e�=�/�z�b����}9~�6�{�L;��g�L��e����Z������?{�(��d�tB���I2|oJXy?B��/�� ����Y!���������a���V�g{]wt���F�#���>KGAI?���0-R�#F7������NO_\�N����E�cm���z�W�����[[�g�@�JK��K��6�F��U��N$��My�*����s:��������vY���e�x�����^� -��KE�����g\���}@g�������IQ�+
�u�� {���� �k aUl|L��$�R2����:��w���e�>��v=�c��<������#0���8��y5��=_Y����o~���
W�������I|��;���q�T$���b�?�8����\���2n�xS��G��%S��U�0-x��-o}���3���Q������O[�|�:���;�S��
#�r�����C�5�
��}o�i��^���>��?mm��Y]�Z��������mY��'�������zW��}g�N�����������_�� ���aD
^X�b�����c�a3�����o+2:�W���
�eNz>�"WC�f���t�B_jj�����;�;�5ej�{��q�*y�i�j�!
�yK���������
(�h4Wq���l#�-�����i�U�c�m���t������o���r����!����TD������[����������4�����+1���.9����m�E�v|g&���z
T��:�|y��pC��
�bu����
5�����9
��Y���!�JB��7��wNF
��
/�Z�J4�M��^z�a���R33Ph)�F
B�����[���V�
j��
�V��!U�a<H l��� ��gqR�V�9���E�n(k�1��uz��K��*�IGA���
����m��Q�S0�iM�5���������������[i���L�h��V1�3��
����{0
���#��~�^h�=�e���t5��F�z��i�#�V7��3;�om11N�n�
kO��u!�BT��!�L����%�g�����&Y]�J7����M���
�_J�������2Z��-��a���9���9�����F{�z������_
_j-#�j�orn
�(!���ac�u��
���b���M�L������=�e�����}���>�"����q����Qu��k.y/ ������+�I���?V&� �������ss-�
P��.)����G-���
I7s�G�����P����)�Ni�Ln�43�lK��ka��x
d�&��4��M�
5���<@(��d��Y�����o ;��Y����f%��`\�sez���[%��lR�SY�^���{i.�����`]r%����6�������
W���J/+����$�|Yx�(��$&]z���HI�Fm��LfX#|�I.#3����������v
������"_��}�>Gh�u��9�����g�Y8���U;������ ~d����c�g�@������a��
OY�r�C<���qa>z�<���$2�?
E��
rMl�a�\���w��1�7
nj�����.���Ho5�d
����*��3�hc�K�TU1YU�9�\O?��
�
���� ��
-�v�7��[�.�
�������}u�������Z���������p�O��>�?t�2�_���\�Q;0�N�����{�������A�u[7����]�o��6��`�}������h|��!#�P
+
�����C����u��]��'`U>����!BY�_�������=��J�]H��mU.L�q�����,���<5�13R������V���]u)a��
}�:��z�� �l���k7����5�9�@@s��i
�T
x�7��}�[�1��T��>�5�\��J���m��}{]�e" �*-��O�
+�a3��Y����`�=Q��`G�n����-�hGo��x��"=���!���������/���@
}�`���g��s�;��w�o3�ZxP�z*��D>U��0�Z.�e�*5O�B�m��1aVOuq�
�.��S��i}3�;��J�^;�x������N%y��j��
l\����Ts�.|Vf]�
;
r�����x_[�������U��f�![�C�� ?F�Iw��Q��B�
D����XV1���i7��g&� \y������X�x��H� f�J8��X��Y:�2M��wC��/��3z;��L��<s�D��X�?-��?���i�rw5��� �v==�y��cZ?e6|��
�_�c~A�^Y������/�����d22h���qfn�B
�/���'���k�J!ea�����^�E#���d�Ke����W�g�W�/��}v�i������tU�J�5��w���
6��A���
I
]�����J/�z}�Xk��I�-U�:�����V����OF�+E��{y� $��z�\�k�������CP�]�^��jU�;��F����AKk���������qO<1��'��Wf���b�7k��8�+{�):��g��V�����X=�����x��
7���m��_smD�1~dG5��-K�4�/)�-��8F��J/��������o@����Jmf=
b���
E�zU!
F �
��RF��[�GHS�F?�����r�E��&
d���A����N�
�-w�g�����������H#����V)�z.���������iQ
�5T�xCg�'�KK`iEV����X<,��k�L�
*9���
"��9d2���Ngj�����
���-E4�!!����g�R���g�i�<��<?�%�����[ �i�����i�������f��j���
���U�U����D�T#i���0������4=�0a.��Q����W�����PU=;���#{�Q�d�����Q}�
�L�J/]��7����
�����jW7��z����d���?7jI�i�X[p2�91�][�n��&�^F��U[���7�
J��3 f�u�����
�{���
W�f��P���E
~c)�����
?nlt���?������0�Ik`�����������"�O>�
�K�����ac�H*�4��#[��5��Q����dmhj�m���L�,6��J��P��Lo��{���'�`�V��n
X�d���������������V~��^�qLm���2K�:?��l��8��m��vk�y
�6��6����LJ��P���U���y����X}SU���j
��y9���b\5'8��s�\������Sq��JE��M�(��{G7b��3����.^�1� ����� ��
� K�E�
�:�_2Q��2g�YO���Ie���6o��Y
�W�r�r�+�T�
�w<?�J����>n����=����I[����YQ7��g��u�(r�E
��o����
�5��_�
T[#�����@��x)Wo&#
L�S����Tu�XF5?4���k��������l�>������'W}������4E�5�H@O�+f�ini.�
�*���?�[�4p�����o��5������
���=��i�OZ�����VYP���j�l���3]��|����
Y]~���8���&|����'�����H����+V������� ����=x��d���m.��@�f��0������$tCE�L��3���>�R�{�@�_�]zKjUG�
=gu���r�bY�?� ����(��]y�S�*$���I[D�{ ��
�� ��"��NjDJ��V�>��i��?�����5����>���[�%f�B��4���e����%C��������w����F�������X�^���v������p��5
c���S�����������t
����V����=��V:����S�T��a�����zGL�RGo�|<������t�E�
���X� ��w��q�).X��t]�&'}b���V�k��c���+;�����6��3o{�~�3���_u/�j!d
�z7>I/3���s����r|�4�Zb5��n�`��������<��{
����� ��2��vV#�j�n'$�fm�gWP�v�\Cx`<ZTX@\��T��������9"F4���}��P�/�[�������Q���j��tl��6���k%�V\��O[cwp��-�%�,��M_��:��y�L��LS`^,����up��#��p���;5��kz�J��/�����+!��P��&�JEj�R]�����0zIM���~�<���qZ7w�p��c$�Y�k���Frq��Wf��y��W����tV�:zl=t=a3�&?�ZA|�A���r�
lWWmy� �����r3����i�5�$���o�M���/+�5��:��u�[��b��v��7�4�U���A�}�L���%p�Y�h� ��I���nd�M
[�u��`�/x��u����W����%x}�c��uey�^�����|�oE�_}�Y)������E&��Y
���'\v����\o���v�@����2�V.�����?����~Z?
o�i���:"K��:�7�;5�0k���8b���:��{;����M�
$uG
��BLu�N@g��4�H,���e��������w�b< C
P�^�C�(�y�d���Oo���4y1<�y�e�#�Lu��*U��
�����I�������n���_��;��|����F��p�=���p���t�K�
���0��Uyq#��k��`�'�`�_�X��p:���lm����/���R���gs�6x
�17�$i:�V�d����U�1���w�
]V�eu�����-���P ��j�� $����~��
_��g�>!���>[�����u�E[��������%����_�+HlC�����+��������1T���k0 ��Y��m<~q�{��O
�+��ga����S]{����E����U��1Pi~A=�����i���������������X]�\3.c����U��r0���6���Q��4xP��V���?��������0}YZ���WsJ\{A��e��
�.��G-~���"�-�z{z+%������V��IA���v�r��x&>I)z���|�I<Ox���Z���
"r}�n�/��@}i&�Q���6Y�
��;�(���h�{.���6��6X��v�ejx��N����W�-��w�vG{G''�����?���O
�T
�����n�Mz���3����k j�}k�b2����<�,�k���7�=����h���,6��Od��&r�I�1'�O���u�E��@i��~�q���m���0K�|������@���I
��j�'���5������4CX�1&��V������+�g�M���>.�>�0���>�������Gzu���h���������}F}��T-��P�H
uW�n���[i�~��u�1�,���a
]qR?
<���U/�������V7Z;��� ,u�?����J�_����h�V��[����$.[_�[/wO�>�s����������7=���
��U�F��l�p��.� � �8���1��������?�W����<W�Ez�69�����`���� �_��&������?�Ms�O�GG���RD�!%���H\�c�;�s=��./�W;��C�rC%�����IM�XU����h2
`�^oi
,}5�
��]UE��)��q�M�+�
7�S����`�����Yv�x af�������3��c|�v�������^nK'#?q����/�
�~T�?�|[�<k
��b�0���+^���IX��w��Vn2/�l�e5Y�u��H /�=@@�0���k�V_�MNrZo�/byZ;�v�
���K�v�}&N�".��/)�M���|�m�����-���T%�z�����T�J�B���,iW�� ��}U�k�Jd��Mm
&Z�R���g���+�_>i���m�?l~����
������<�?�%j�<����Z�y����[�{�h�9�0������%�V���^?~�TYqm��y�Zb�L�>�����s�+��E���_��Z4v���H��~~�<��o����?
������|�HD)���g/O�����PRf��BP��.{Q�[�
�ma,c��r��N��DH�V���u�1��)��D��!-_�����S 'eU��m�:{������m��vz������
�[:��=@���wL /�k'��f��hg����
���z�����WM.�z��|Y2���d� ����g�/��^�7�!��S�i�>F{N�H���46��Zo����>��f����>C
< ����:���w����}9��"�������)
���"}�i"�R�����"�ff�KL�Vf��yD1�cm
2�7�����Jb@�����Fr�0� o64�
���;�f����
V���������3�W������Vf��
�L�R���+���jv��
��{��~�����O
M�>�
���4�7�ve@�w��@M`F�����AfJTKZ-3�z�?� �S�o�oZG@�mLu}�Ku9�
zh%�a6�Lt����^���
��\t�\��Uy����~�Z��0���s#�Z�[�
L��A_�s�z�"�)7�4���n=�M��� Xy�-��^�.���?
o?���5�������t`���94�{e�
��S�Zc4I}O��q�=���I���&k(���D��
b�6�X
f������������4w��O����[���c�k� ��y�?o����s��
U
�u�������d�
���^S�^��Z�?��o��{��
� �:3�
D�;��
2�4�
^��d�T����^�T��D ���E/�-~���������V�Iz���������0N"������$H�d����}�\�_�H:�c��$�v|I
:�#k���O�8��N^ ����o�������oO_������?9���X�H0���7���p��X�L������
q��b�#��r�1���o�pY���
_UB�I�9 !OJ7���X@sF��9W�L<!�
�D�"_��e���O�n�>�:��|,Q��wr#�!IFiI����7�kl �V���
;Q��`_�
>�/�\O�k /�X��<w7�
>9��G�|�Y;��f�$
r'-�t{;���P��;��``��� ��+ '\y�
���P��%�s�P�������f������������������/���t\�������Yk���>;�vw���W�m���{�������#�����}��U����~f.�
U&� ��(��I]{v���6k��\�W �+��f��+������z$=w�������s������_���2 @�� Y�����"�*��]�Lv�����'���$�_2����t�K=�:
�� ��'k4�T�Y�7�)�UWO�xf�� {���>����[�!�rE��z��b��h)I��LYt��J�
�
iR�a2��B��a��.g���R���*
o)"?���Hz�Z<t����Nvw���AB�� �:c����
�Y��N��\�9���y1?�^��\�s���0���#)����j���
Y���|w
��*����
t�K[��(Ui9�Ro�{H������������l��������uzl�����_Y`k��N���?����W_����l4�TV^�`�/3����?�����,
m��0)\�,]��(V8�Q���E��fe��~����A�l?��K���
��/��
/J�2Ti�2�
?/ +�+s����(='t��T���j������{}cY���;~����N�h�����4�}fA'q�5���I�������3����o��S�S����i�N�gi�d.�n��v����d�
�b��y��Q�DYfA��a�f^��y�9A�GYl�6��Jp����\9I�R�+��sb^Y���]<�) _\#�*�����,�=��J?����,�C ��{~Vf^�y���4Mr��o��� �$��S)\��
��+\d��v���
��S��J��
�8�"��
��2/L=?�J
��y�b�PV�e����Is<��<�UzE����`"Y����������������|��mO�>)8�,,U
a���IU
di�%e��x
��E��
FA�(/�/��[�A
��*/�$uB���Ck�%N�v�"�_YQ�a ����VE��
�"��4����NV���$~��e�%�e��N���0
��A
�(�o����L�q��A��1�Y��b���
���� �CF*�I��"��8���b
�8��:�������8A� �L��,3 '��a�T��)���[b��Ly���AR��^� f~��a�-�<;���������SX�<*]��&�0|������Ks7pK�`C'��4�
/��(
�)�`N���������
�(lN.���%^�q��J�X�$�s��0�0,���<��Oq}�a��+�<��2�7H-���x���n��~�D� ���;�aq�p}
�I�.��� _�+]��w���&~����)�"��R�6���
�Z6�+����.����*X-������
��s����T�h;9�4e�IP��
�w�>x�On��
��r���|r��i���Q��T��6�)"�
'����/,l��4��)�.����)���c��h���vn�b�D�
<�
�6�0�q�� s�$Z���`[][���{���iAN�fMR�C����
X�8t=�(U.�p,���M�4uqW��S~yi�~��.�(w#�>o�Pe`G��� �1F��%�@PW����^�3��E�eN�\%`x1�5M�X� �4�0IZ����8[+!
@�����W,���$qKN
���y���)�
��=�
�q��sR�4�}����P�#��0+��[��Ms���C���ppp���@��'�����(��S�p�0��"LB;S^*��HAZ�^
������OT@��<U��y�b^N�a��h�y:
����N�k�����/�
�����G
s�A� �0�
��0���ppl���r�o�V�A��������@Je�n �]h! ����D�^a�9.�|��uJ��!��
=�
9x��b���|�
�]��CrB�+7���/sRy$�9���qH�$��H��H)+�&���5�R.��@\CT��-~�B�����\`�RE����X�
����� b�]!�j������0��
��W�r�"'��IF���Bj%�`N8Nd^ ��3
����3P
�/��
���D�`D�n�U��68vi���q�x������� $ y
�;��
��c�D!��I�!^�����X��N!�B��C
a�q2
D��9�Hes
J�D���L��0K��\u�E^��6xV��p����p����YN�,�p>|P=�_��C|����pR���m���[\I��
�G1�c
�,tp��kiB@���!�\ k
P�@d98
�f��\���^�-)r0��(���!���6NY��E
��@�U����mp
\
;`���3l*v%,#��H���}�)pA,38A
�v���A��a:8w���2�O)J�����B ;�8!���c0��'f��$p�gp ��}�<^���X0p��"��+�(�oj.$
�'�g�@���2I��L��gNYF[��@�xO �%qe|�</n���r�����
�6�X����3�/q3��
�
� �c�1 ���;��,�I�0�<��� `6`dV 1�81���(04R��P)�N �
<3K{�w�{`s�*`��p�x�@z�
��C
�+��R%�JE
�sM��#���0K�
0Zy
�.�
|7�x���l�,�.y!���}����(���R�M�"\'���
j�L"P��tq@+
,� 0p(��
p��< +
��y ]@��J Np�,T�����N!���*����s��-G
C����"�
���������*B�������:0m�
06��pD�8��]�^3�C
;8�8�^@S��&�TY� .8�`8�v)v$���V��\��
�
H$��qu�,�n.�%~c�1�<�s�"q������
y.��:���
�H�f@`H0o@C`
�:���B��c���`:�V,"�f
�
���A�CH��IiS�;x,
�@n��@��K�A��`\E.D�����\@�`@�8\6�
�7H�"�����+�+"0} ��
���!IR
Ep;`:x
�7�RN
3����j�fRIJ%&%9�#)����pH���N���@&N"��H�
��r`n(te]
�����@o�2�v:(����J7�b0�K�b�EiC������]0
�h���B;� �������{6�((P�B�~6�M�l��
����{)0�TD,DI�-
��?mV��^B�(��V
G�'
�{������)�
=#�!R�|��
%(
H [������}.� �8�o�* �J�_����h/H*����4��
�?�
��<
P��T�@�I
}���h�2D�0}X�TEgM�'G
?���`��<�
6�h
*jL
��}L
�0V�
�&��<-�p��p�'����P
!��(�C3��i8��*�9����
1
@d�����G���*���oP��#|�
e�����D�����j������(�K?���[��w�s�T!�
����a ��a-�26� ���Td=
X�T�0* �
�\�S��P.9N�S���fS�i��@����-�u��
�����M
����������X�b�t�
�OF%�� �Qk�P�r�!h��>VLA���Ry$���-��`�N���q"]�(*�
� @q
�9(
���������1���`���
�b���,-�b�8��T�*Pq����!�"�9@
�2w��
wh��}�e�bl��(`�����'�b �
o
<�q������B6$2�����
9�n
\�0�
�0!;�����C��(�!q���A# v
>
�18m�;yP
�����������#m[��v�!�v)6`*�
����@�� �Ax��������q���8>VZ�a\
9P�)�h�KE4P
��c�5��0I�� �l*a
��;$'j>�|
� ��(f����
�x�6��kQ������K����zB�������.�`H 6#����C���S�Es4� "e�i�yP�#�����C�
+����
�9�Yw���%�M��A��)f�V��V'�(���| �(x�Ca��6;�4;����7dW ��C����@��f'���D�=�3h�i]Z���@�!�W�{��
,(,
1E�
M\>����<(�
�� �:
,V
����A�@��-��
q����%f`(�0h+@(�x��'��� �2����#���-0/�O�(�!$P���;8���
Z��r*���>��u'�
���
�,&����c =(�"���%h��
� (�1�_����
�:7�H�6�
����, K7
q�A���x
4�PH!�K�w���0������A��A��v�`�`o�X�\,
�����d
�:M .N30H-
��P�&���c�!X!���q�CZ���6�
�P��� |�N��EA`m6`%h\;���C'�RC��!UZP��Xe�?��C�J0 �N
�������iJ�*
�m�n��dt�h��r� KH��{�X5�2�K ���� ���U�,�!0R��Sr
H��� �}��x���"�cZR���b�!�
Z`N��+�G�� \ f���X�p�g��O��"��CZ�h@#����M!i���x?O��!@,N��x
�J��q�����������MG��+��`�������u ���s�K�
.h ��
�0u
wL
*1��4�@y��&X ����%���S��� 9p�J;��d4�B�EPw! �I�(���0�G-x�U�6������m ^p�#����GX��@n�^Z9�6Mhp�5���CD�$ �����E�$��L����E��8'�� ���������!\ lp�jmH�W`����
�'6
����
�
�(�2@�. &i�T�Q��
�A^*���9 �F'-V�>�����#��)@HP�
�`
PV�'�E�)\��+�����t�\���R��}��A�e��A���N=�3�_�K���
��x����A���S������,'|��������
>9�P*
���e&�+ �����:�*����B�1�
Ex�0S!`N*�@�`��
P:��������
� �r����W<��G����T�d3�;QS� ""�@�c�>��bN7��z)4�
�������$ ���j�R�V�O$
��C< 0
������PI)�Yg�3P`�, ]��M�9�
��
���jD����yTR�����f��=�FAk�������yL���n`3J�R�
B�9b�I�� "��f�c�I�����=L=��F�f`�(p�G{
�(�uq��H���b��p\��D��EB;��K�A@�\���s�AY�f��
\�5
�2�A�9`�C�~����E��@?�'I�Q��tY��%f��;lqD�
�
�>m�����^��� [��Qd9%��6b��7
=�H
EHJq�@Y���S(E���G�L�����>�p�
G�n� e�Yb��=�G�l��9���'����}�Eh7�^
�Pnh�t������8%!�
R��<?S6��!�JAr`
��
�9
�a�*9�m���Wl���)�0jN
��;th��@���y.��
��r�LwH�h��� �� ��
\
� ;��cm���D�i�G��YUYz�bxNNH�"m/146N
g�����v�a-��G�W��2���
�������!�i��=*LB�[���'����q�h0G�j�s��/B
3���t������9�P�q�@���c�=�3��eZ��$`�B�wCm������V�
B��
��$) �q�3��k��
�p�M
�����
y�gP
E�h6�����I�d%�
[�����)���~�Z�@D
~w�0�Xx��Z5@H�}
���=����.�F�~ASt��Uf� �
PDP�b�16F����U
�/+�
���6��b3�� �
+�� ����
���
(��*��
�(@?�L�I���8���tt)l\��h]�FTp���H .��8�l�s�&A5
����A�G�� N>�$�2d4m�&]:)��%����\e�!��PB�i@ C����*�-���~(��=as���A�����@�����U�8�\�}L���/<*�'A�8
0� �R�G�
�fp(�%��gC��*�-���b�? ��C�����V�6�B
_7M��@���s"�q8@���t);9`F�4*`A�"'0[d� ���������N�8���
�A�����@pb����H!��19)�s�ts|;���!��k���k @dS���h�sb�YA ���� �(�d����a�%�~�A@��TQ����M�g���UI�[
��G�� ^�����~��s��\p���+��
zC �f @]I6�T�U��jl@���C� ��C��t&��B��t
�b�|#��$��Q1��Kc^,��/i��R�Y���j@V��N�Dn ��
-�!��� -��'2�1��;����T�$�Pz2:�������!� ���tb�����������ch�"H
\�����`T���
������oL�v������O��#
�1di@� � �*SZ������ V]r� ��)2J�+Z�]�h!��$D�o��M)�M
���1�WQ
G���
��������F�
'
'",�d���h����Zc��&+��ET�CB���G'"�
��b.��U
� $L�d���g�� ��������9�d�3*3�2�10`�-����WH<�� %�:��@
�t(��+� ��(��l�
�]�f���(�5�/�qt��)�dL�~�=Ji>Dw�h���Fr�/"�5���vuh�P���]�A��](Z�2+��x��G��$sr*
%�~����AZ1����������
��sBm�H
���w�Z�p�s���D:�yJVQJ@���7C����Bl��^�S
�H|�%\ ��x �r�o�Vl��!]��,��N0�[�N��u
�C#RJp B�F��1ME9���A��
h�8�h�����u6�'$[Jo�+G��"�fc�i���R�!P���n^������p&@�
l s� ��l���������/b�Nx�����D9� �a*���AIe<��q��q~�
TLoy^Z*2��'���HE ��
T#���'@�
Gt�a|`���c ���S����w$=B�0� �R�DU4�N��������@)����X
�9�pl �N��*��,�MT�J���k����t��
���������� )�|7I)]��H��S��S`l6�� ��H&'���!��e�y� \
�k.X6�7d��G���`��!�?�����/�7+�,��]��'
��~
�h9��������s��2� ���q��v�fZQA���`�� �$L?��"O��/���5!�i�^t_0o�c���
�0<!���/�Xh�`yx7`��d��S�3T���V�.��A�@����C�L2�4��3�+�?�t{���{31�)�J��>`{��4�i���K��t2T
��A��f�
��(�+���>8\�k���<�LAt���P�S2tOqs�`��J�P��WAAf����
2�~
S�1pn�`����<(�T4e '�&#!
R�������Q
��8�.O(�%%:�h�
<�I��R��Bp1@a��(��J���P(��J:\1)����
�`� �.00
�M�9=1�h��
�-
�P�K
�y�
(�<;���@����T�����2�nkz�J�"���vz����!�1XURL�1����� ��i��W�|�v� Z�� �6R�Eg-�
9t��iSK{�1j��
1m��-���
Z��q3�.`H�
T�x
��{t��d�e���o��b�
5 2R[�����8�vC���`�
|!2��A[���:BK*�U%���8
hB����%BNUpO�s�h�����m����� ����d�&AZ��q�1�8J�b�
��`�p3J���> o�S8����zP��0p\
1P6�-�>��
�~
�U��K
�d����
�(��+�)��.��>���pV��
Kf�8`���S�
���VX��)�GCM���`���������h��
J5�2.
���ib%�8����@���9��u
�E�4������4@�v(�I�����g�-f��K$��.�s�
�~�^B�w���K@�
@��*�-����8�)(��1yE�
[���r�����~�D�V�R%�����Y@$����]r��A'��1�j N
h��&�/�Qr}`�JT(h{�5�q�����k�T2|��2X,2&���,�Q
7�^8t��Np
���!#�R��������gT�W\^'PP���
g����`��!s0!|�Gb/#�!<
�3:�mp���
��.�0(�����A��O�����p��p�\�#�~FC���v�@5(������� JI^`�mH6��wNJ zC�����}(��Q:���7e��0q�����A��p�H��
P#��NB�K�c��x3�d7�d��L������0B��1������%�����b8e�VZBO�/���d�0.������ c= �
lP��`�x6�
�� e���61��Tx�G��)�3F���
��@Z�S��F��`Y��Qqtr�5���3qh���@G���Q)�����4���@-�+��3�m�/��d�^6�
Y
�*(8�����>��p�} �b
�Y��m�Q���?L��
�]Bp0j)���N�$SM��\#�����g8�
x�B����q/��@ `�@
N�V�:��n���������B�1DTa�(3D���4P�]CZbR)���C![�!�;f"����1|����AI�b��g�
�_�p��)�����W�KZSqQQFq����b*T
C�Blx�8��j��
���!�3�;�n��L�� �h��B�?h��q
���~�|�X
en�
y �.�Y0K �
�!MK��R�����
�IN�����q������@ !�8
�.�
:8f��?�*���@�x $n�������"pz3|��
R�� ���������S�2p���)*�0���m:&=C@���NJ�R%��;S��%�o1K���C������-��@��������x�� �O
���#Z�~�
�h`.�xP�
(`����D������=�w�u�/�w�
���J
Y�
�+�^�k��x
< ��������4��
������!5h��N����;e�Q�Y����d�I����)�����8�#<�%$�R��yt���1���G�v�`��
��HI�d���V�@�$���x�e>4_��b`��b�� ��8f�8f��]�p
����x6$���+��@�
�j����+����c��
�"
��Q�0�;Eoc�A��t l��)R����KJ/K�C�p�=�P �Bc����X��D8����Q��2���1�XY`~�4� �
��C�a��
�
L
����
6��$��x��(f!�{��������@'Q����1����c0���sX1���@!)�� Q3���@�@�9����a1K���5��^����c��9FU�
��+\l�
�V>D������
0����7�����90m���
����
%���c :rP�t�z������&��V���� ����t�~Z�yd;���� ,�U;���L�!�Q���RC&Nf49z��
��� ��)I������R
� 2^�gP7@��^\����]���Xc�h�M ,�N
��Gt�Y���hE mh����������`��`��`�
tbf_
X��*
!��B�{��e"`J8M6s�bz�qZq��l��A'��>�X@<���x`��k(j��X�4�rt2�A����[
@P2����La�>���~J�`
x�n����1*k�2E&u�t���ug��M���/(�������jy1bD�� ( �����lf�B�����J��
�N�����t�Un��b\2��H=H�
�����T$y��_��!5;�j�;%z����7��������1���s
��5
5������o�����C?�*�L:��2��+�b i����v�N����8[eIk{L�>�)������
����Ch�4x�I m$����0 %MB�� R;�����������S�_^@9�3@5��P)N(���n,�XP#E;����L��0�L���3'���,�l.�
F3��'����@�.���e�%�C#R@��L����AH=@\�AS�
J'���Q��� ��A�r
��*,����
i�
)�e�\�F�d��
�������P�Jd����
�8f�/���,�*C?��c�z�E���Lfp����bl�<e�(ppSa3��
��OK=��Xg_�TGC&\�k*��}� 1'r �
�
E��T��v���V��}�&�B�
A�g�,)� A�����q���$��8sT���mLh�:��B��6�[C% ����1���S`Fz>}�
��J�_����C�8f6�
�R�� �
�xLA}�`�M�A�Y��� M�
��,BV�l
���xPc3� ���
�G<��au�
�
�m���hb$^�V�[�d*8�GG���L(V�F�����1����q
�0h'�|���W�Tuh�f��$0e���(�0�;
�Y6
����*:�J��Pj����'
�(P�A�8 ���/�s
7�%�(�\#lr���b=��m
_��a �H[
�:�Ke���
�
���.��1� �nHO
F!�q=F�n-���2���vXZP�c���!/�*��Soc�
8)t�|�
u��
��#N^N��KO5�6x8�a
�*�MU$
�<L
{u��
�'f>�)`<
e��AK���;�J�����q�� �4��%=c8�i
�.�x���8M~@�| [\6 �aft�%����%C�����X��E6��T��
�It�M.c��p"
�7�������/��D�����t�[��W8
��r��*�%�
� ��}�,
�N���-�9�0O@�T��D �����B
d4���$%��.oq!�!
]_BS)Y|��.�s�a"@�B�`ql�sz���F�13�I����P _��
�����B�r1�BR#�c�WC�D
T���64����I�
�22�����
�1����d@+a���Z���B
Jl�
��9i1Crs�\��
���16��
�Q�Pk��@��-�` �2!��C&E1���
�g�r'�N��A�1���q X+S��L*V���C������>��0�����
�-#%R)����,1qPRlX�;�����DR1 �]�/��A �q�Ys�u����b Y��u�9�8�
�
�u� d~3Um��\#f�%���e���
5�-�
b3�o�gx4�,b{/�##�x�d��V�[
��������A^#�)y���'?-!��!�t���2�R@dg,3�o#[r��g�x�^V�LH`(��A��F-c��
>H��b���U��u�W�{A��H�e�1+�X��U��(������Q����f�BI�L�v
��cf8�b�ri
����S�l3g\�����XW�o~��o]�
4�(��r< 9�P�1���c�z����B������ !��0n*s@�9�>63QS�efo���D�!=>�1��q�b�o�G�`PvJ���`2,��9�T�!�b�9Y�l��j#P�
��� � ����!&r��@�aP�Y,�����o���[h+g)(QPj�W>�H"���������I �V�!f5��f�".���
3�|��
�+�J����d��\H-����]����J���N�C�
���<���
�]+z�����NI�g w�%s���J��1�p��S���A��_Z��nu
ur*� (
t}���SB[$7OP0��"�`�^� �@�}M�$ X.E �hM��<��� #W��� zP_� �N���V���
3Rp� � ?}��M��8�q���@��b�4���
,2/hJ��f
6p����n���$L
}6��� B� ����.;f��2B��;� :TQ*�f7`AP��8!����x9
k�5���4^�WY0�*��8���JB'&I��2B� p�13V���W����F���Pg9�qZ��r8
��{[��
���3B��@E�l ��JY�
/����D��X�2�}�����B3I���^)�T ��R��
��Ac�
��`��:A3q��
0���4��5�����D@��� �}���d�G"V��|r�b�Eg+�%h ^
Y�Xq�����T rV���i�
{L���u��"�!��!6
�0��G����TY���B2�x?$c��J3��f.f��u�O F�Iq)�P�,+������Ncr�����f ���
�G[a���,@k��1��za���Cy
8=�lB�2c*��|��b�r�e���CX��d��cr��bc
V(��d.f�@%��~���`F%� ��h�
�C�Y�������e�f9 �rE�F*~��e
Xy������� 5J(�*���q[X�����X�|4c��O�2�C�\:3�@��)�`?M���X"��E`����i�2��
Y�&��rJ�5�{d3������G`,
�w��L���@����h� �fF{^��1Y&b(��9�������p?��2`<\��`��
n�c*� @�d���>�b��0��:�#Pj�P`�KBd�IJ ����
��)�3�l�0��� �� ,��H�����d���@-���
�P�$!5c !�����L���a��/AjJ�Q���t��K����d��
��Et\�!�~z�O#���bV��A21
,�R�8�r�>��l�H( �
��>O
PqdKeh\8�1�(�
������I f����t��0��fTTA
��0��L
���8�t�����'�[�h8���&�7�c���hO����bZ�K�#)�B,�f��Cw�c�
sz"����p���
�����D�p���Br��
��@(P
�"�������K� 1n1��B��1�j��hp�M � }�6V�(}(�
O�C{�
5������g8<
s�k/`�h�����V��P�Sb��'���b }'fLK��G��wH��[��uqq
�>`?��*�Ey3���M�R i�*�p��@��L^�tQ!(�\��h3s���F?hd/uZl�� �eSf������+�?F>@cK�xY���0V>`2&��A�?`�5
�X1:��g���4d�&b�b��/(�22��h��
XP����g$.������T��%�
�>
6�9���&k��
AP�"y����@��@����6cIS,b��ge�0���
N}J�%Sq3��C��2
�0d�
�Z0�;�A�0�"
��
�[b� ���S2���(Y9%����
���1������g""a�oDg\Hx��W��+��*@�wivg4,�����D��Yy�9� �ag&y2H��Rp��
%��l�
��� C�����
�K�@=�
kZ��
�1%g`c�.0]�`,+�
�`�
sb<0]��#������O�A�z@������
���:'���')���1>g/�Q8.����XK!��Aac�"p����l����
�h� c�!l@
!O@��*���%" c"4Nk�3��g������Xh
���@GQ���|�q�C74�*|�g�
���U�d
�v���S(�"�������(
Vb�P
�
����_���� ck��<!�A��Q��,)�L�,c��wG������yq�w��3�u����i��J@w�>��_P�Y���>��e���I�d
3��eP��w}p����4���J�0����v d�S���g�)�H��,F�
B|
�)AC�f� �����eVT���0y�S��C=� $�c�i�6m,���
��
i����9#x|�0�� ��
��@Q�Jx���^���*��f��
J�D,�w�����F��3x����"�l�!.� P}�K�����L;p���
� bg�
Ui���Y���k���Dj�b�RV���,��h����I��9��`��"6K
)F����
�bZ8 �����
���� {rXg4�3Mg�g�?�-��
�`�O�B��W����+bYN
g�3d�x���0�v1/��di��|d�"4�v'��
��u!��hb������+��9�5<6�~:�K����t*��0���
�@�
dH�����d��jX�
03-�����1L@DA$2�3_���Wa�Nv��7:
�O������ "p�q��a�
��<H�2IH��F��n�Q?,�:�@�k��
�DR ��H:DHM�(��bL��
�
4����-�O_&d.�,
x���8��?*��'@��2�]�#���c.��f�%�:V��vK��0����1�q%�%e����L�V'/XP���a�,�Bde�2���P��
S�L������U�]�>�m����i��TV�������
������L+Pq �
��0p��oR��y �c�j8
��3v/N��8L�m�y
��� AR�P{s��@� *�c��G�H 6k/0���q�4���=Z"a������,�SN�y��T�=�=��?De��AY��������4����"XI������2�`�:(Xq
�&b�$�qr�
|���� �-��k�`�6}N4�(��N��Ww��IFP`�C�����|��
��A+s������J�k
J���wQ�s���hfP���x��G�2��X
��d�:t����q3'���`yG:S��������-�amJf�q*Xr;:(
�q������!�la�>E�\�D�$d���`�w�SR��
7a
�'�R�y�\k^�����R����u�X_8c�-��6D
!�Q��erd
BC�~�DKL�!
^Yz�X
N3a�}�1�6-]�tb�`P4~!�
F��
���)��E�B����^b��b1v�TJ!�Oh����Nrj6�tiA��hc�q�=��
��j
�cC�d?��9 ���1���,]��
J`
]�,��.ka@����,�����&���m�?�HL�(1l
(&�~�U��Q�����B�cE
�w��HfD����\'�(%=�����!�%d\Z�qY:��/��<L�mVX�#��9.t�/�V�:�RXS(�Y�*�/n��$��P#
�
��
�n�tz��(�
��X8�h��f%�+�P�
��#��v�I�ff�%3�,���a�>S� �(���2-
�&����
��+X�8]
'b�� ��
�"�ai���D`J!
��@&��
���nB��W�_�������m���2�
����##g����<��
C,�B��:!k11����
���� �4qA�+0E��X���Jc�]y������C�dkS�pe�4����;��e5
��
2l���6*��g���ZC���2�X���J�0�{���\1;3��f>?�n���t�;�XGP��a�R8,63C��
J_,�Z�� �(g}�2
���@�P!�4@�,�������2.
�%�q�\�3��^�_`P�GK���H�������CFm3���!
�^(}��>�IY
����4����@K�% �����l����X�
\Q��SI�&)��n&��l��?d.8�l`zP:�:x�
c�%y}�� `�R����� PC�r�
1N
1�"M���G���cw���U��$2,�i4��E�0�8Pm�
��o
��\���
�*�����d����y
6S,Y��5o� ���iyY@#3��3�-c��*����+&q�V���7 �0�m�^
:�����s��2�4��,oIc"
�LU!|XV��bZ����D�������#dRT�I.L�/�1������N 3�Nr�.>��<c����
WP����4^�\����z`�����A�.����
9��B3,�:a~`*��!rX3
F:x���q�n�u����P>k
�25�lJ)[ ��������
�
��3- bz�q�Xx
Z,��|(�Z�"z� g�H��DA�� t�u���
`���
���
�aQ`:
q���XF���,e�S�;�?��U�
���)c�s����R8���I�2hFP�Y���"�\i�z��]�KD
8
����5��
��)��h���'f�h�Yr��G��:d�$�-?
kG�+��WXp�\��Q,� �f\8R"9S��Y��-!��1-
Js� �X��M���f����vl�Ap�2,e����j��ZL��H�e���H��|e��]��E��3 ���D�� ���~\��)��a`�ERS��E.�F$K�r�,��� �R�b ����p����B��L�q�R�e�@
p�2%����ZLGy� e����D
x`
VH�X�
�sp�i6�`�%��K��E��RCD�X*�Fc��n�������xJD
5���u�q7V�Y����KB�����
�
\�Rv$�$��Te,h��\�G{����E���Y
�\�,X.��&0|����X,]�uzV�O)�X�2"_L%���Df
�g-�
mR�o',�
����%�[�\��dbi��
�� ���VQ"��)et���
A�blF�Q��,��2#MyLdq�SYH�P
|f�!Vh�p"U)�3������TvX�%���X"
x8+�Qa�*z��bd�7�@,�l3$��BF+C�I})/u�l�u�\�
�- P@Y�p96P��0(�(<�;�
{�Bf
����P K,�)0��-�$cqIf�R�*6�*X�:eh�K�E0�<H
�W%�c��D�<$ssX�#��=JpB/�� �
�����c��\�N��pQg�%|H�
K
ePf"�?�Tc���Q
��]��38��<iQ�8���F��� �g���2
t,�+����8c�&�C��c�� _p��%@]bUF`JpW���ME��Y E
Y�
��`�
�=���a �}�bF�1fT��
#�X�=����|m.
}u�@����n �~��vNK���b��1.
���l��*�,AI1��q���[�P6]
�!E
I�(�&pw��`%��B�����v�W������c��zV�����V1B�����
}@79������
�:)�0n��
���x,kCE��-plM�$z��rBBR��P�r�^`��P�g��
q"��k�������)fP$H��z�+�m
�.g����P�J�3_�er�w1+��8'��n�����X�X
t�H�+my��6#DiU��
L�i���������1�L
��d�
�2��uA��!+����t����M�SG��K0@=�Ur�N�d�`O�������PPS�^2^���)cj�G�86����(��Sx��Y�3
6�������������3��4���F�)�� �������l���B��i,7�pLR��"m3c�K��a>5��I"��6�q�����)
���+��N@O&��WBAc�1�z�m�
��0P�ds
��
���Q��M��N��0�����
(�/( r�gXCL�)���z��"�
#�M�h��U e��
@c(��#lZ�*�:��d +���,��3{8
h#
}������
XL"��� i��:X�:#�5�B���!�1�'d��
0��%�n
�d��%
��,z��{;�����P|�L�b��b����
7���u6+��!��X�D�����^�
�����]�zF���o��@��U�%����XV���)"��!�����t��8��Jt�|
C��
��t`�
��=V����c�m���MT���)66��8bkw�I@
�
T"�@�X����`�x
����:4T�L��
H
�Rt�$�-}f
c�m��@�}��
���3�
E�$���������qb����p.5��:^B���sCiP�zFoC�ez+1��p�U��h���
e`��?��I��b��5���u ���24{�MZ�~*�=84�L@��� v;vY&.���c2M)����
�<
~��J����F��A`0�� �6�9tAX�4�bc=���8L��V'��@�A�CQ�K
�R�8�}a
`�F�Z�Q
�e�$�����/
�~�g2|��U(��� ��1�������� _��3�~&�5c)��x�(f�W�9��X�*���Qg�2���F2��p�~�'�^&R)��f���P����F?iJR��
)[�%,���t�b�
��;B����Af
�tI&
d{r����D #a�c��< ?��-���#V��XS0tG|�{��a��� ���C��
2��C��h���@,�X����m��������{�}�A�L-bT��,�eS��2���h����KV�aQ��K`�
���
��0�]��OT�tA3
/��R�
�frH"���~�S�ET�D���":)����1P,���
E
],9"��fI$��%����.X���YP��*�
�
{c��+���2A���%�8`+"`���p�Z1[ ���n���FCS�%��[�:��t)���(�$��1
�`�*��2�
�\��c�F�p�5�1���E����=�Y��}��z@�%�
[��X~J��`���A��/w$R�v�A��BT.m4�&�������.���6 8�����(
�6�0��K�
s�r�(*����;�@���X���z��\Z���/�e��
�}%{����l
��K*����4[D���Wn�T
�
��`�ha��x%u:
X�B�%�v��.� a�N�����$( ��0��L�b
�d�5@�
�v�
%[�������
�E�R��Y�
���F@���
<A��P8zl�V��
�B�p���D`y�����#���
M�
�9��K�X�
���B��W�.3"�`�Q����%���>x��
]��=
�@ �l�!���j��q�8�����A��O��0db�
P-tY���0 ���$.�,�%��������`�����`?
s
!�m�A���D,*�?�.f�g�V���@
��gY��c�����t ���pXu��#�H�`F���)iR�����������F��x=�)�]����q��
����Y���/��3 ��-��N�\�16���:��H�7L
����j�>
�[�b!�����2TLu6q��}�Xd[��=�$���UF1��C���kx0�����
EX&'yN;]|�C<�)�'��6e�
�Um��L�/&��!���N��#-=i
SuX���_S(�
�.@�
I�CR@d�2�&Eb$�0�
��s��Do�b���G�a�;��s�B��dJv�-u���7��`n��H<���������
,�zm��rv�KJ*\�ZOBjK�=�&�����!fK�(��^I�-����q�m����M&]4�\�jH,PY�4)�5
0
��n��QNl�-�X�;
�w�r�)�K���|�
4K�1$[3�L�$����8C7��p !��������
0�cw$�[��X�� E:�$���.Y�p�z��l���L�������Z+5FG���v>&6I#\/&�
SF|��V������C��E^�sUD��
2�����s"�=�������.Q� Bs`L��Hp{N3O`�
���
�C�R���9�f���@PV#��,��d=V�e}��Lx�V�Dtg�R�%b�
��B
�B��X3)�M����l� Z��w�[��R��f)d�4(������ hY1��VR��q&�Le*���ylN��7�<�3�
V������
e�u3��������^��<7e�4�����0�J
�QD�>��TV�����8��FA�`����-�HVl����V�
m|,����P�r�
[��@2��>-(*e�9J�#niV��szd�w0
��-P��
-l���.���Y�dj����X���f���i��m �����c+z���W���s2����J��#������j� L�>�J_9-���>�">c
�i"a"�v���������f�S�T�x�*c*�*4<�Ls|Z,3��
�E,������O'��������&�SC��X��f ����!Ei4e'�X��d �
�������-E����%42�X��X"������u!���p3��
�=�b��gSN�uM���1�fw{9F�[�Z�l�����)� �=��^2��9�E�����%K
A�0���^������
a@
�V����ocq `&�����k���L�
�XB������(�BE]��� !�I��Q�!��h���!<��*IY���A�k�.��GW]��)�=��&�2*����T�����l
9���2��E����$,�3]~1�+���UqY��=V���H��8c��#P`s[�'gpY��%��Q(Eo`@�
d�4 �8�r
����(����5�B��P�\��9Ll���X�
vs12��g=z�K��zy�h��� ���
x.����2O�m���-f\&�d,��nt��1� CnE�\k�q���&3�m��'�n���lx���gy;��I�XX���6`�&L[�S��nL���tw3���Z����T���Jl����I�������N�
�d���4���f�N��n��6��wK�C��33�g�+$���C
��C����lM��R=�d���R���l��
��Jym(�(��5�hBI(�|`
8���Z���A/DA/O��zq���N������������|�R����_z4�1
4%
����]�d��*yG�C�P+�vA�.���c��\�
0�F���R������5_��'@���+Vaby ;�12��X�2����>v&`<���2�V��������f���G����QlL>���^&
_��PP����H+
�
�t��8��KP�\v6gk2� ����<�\H�����ls�����s0�\=���$�i�c�?�c������g
*��$��4�����3���oN�'��
�!S��������X��Kq>\��-l�
��rb^*�
,����+;
����k�.KV� ~n~��2>��P~
����Y#H�t!�*��2�
�������X&T�������Z{�yr+/+ ��s�^�}#��
s�1��Tt�>������������sa�� �����v?����&�{�;�����O �
�j��������\h :WWou[�TN�k���
���8M�"��;�7�}��/^�1��j�w�����>��g
-h����Z�p
$F�\sE�����B����iN[Z��%%]K�e/
��W�I��{�O��%���������H^rG��@`�]����G��+n;��8Ca��2|m`�����:$F
����a�
�F�������7 t0:9I�j�X)���%���6\����p=
��=�@)���S���W<
D<A5�@={��c��n
q��2���Oo��VU�O-��MI���5��.����4��R!�<����y?)�m9�N�
J�Z�Q����������;�D/��9�#a�r@E1���!l�
d ]�QM:K���=��Q���~�Zc�!�V����}
gWx
8*Z�h������ *�O����9�����9^d��������[���R:�����G~M���-'!s(�����)��mj����$�Y�������^�B�Y�
��AL�����:PdW��s�LZ-�k��~x�^r����������\Ne�"������Q��D�:��.Ip!1�
)����Y+IEm��U��!�)ws������Y�%�YU�4l�������@8y)
O�
p���r5�O\"( �*�
�R��� ��S���5�]�pB�`��}�O�pS�R�39��t�D���JP�����~�o!$t.����G����j��
{]t��!72:\1XXH���z��K�Z��:|x�:��)
�k���z�����������!���V�+�k��#A�E�$`�r����+�s3�Rz`���\l��&=�u��I�]�8���8����5y�lR�v�L���/�q�e�v��(��up���������-�2����L.�9t�`?�)������m�����]Q�h�e>�w���-*���5&�����g�jX��������n=�Op
y��
�(�s
2������2�#$�
����F�����+����v�k�/l�
�tyY
��Ot������
*se5pz�:&��i�X��PfQ���*�>��8u NN��*�Tc���<�y.� �cm:7Mr���4��T�R��kl.f�c�yg�<�D��9H�P7���&hT�B
1<Y�R!)���,��5��(��F�&���T����v�C�<
T���������~���Ia��� 9��&*�)�0}�H���$�*��O��+T��D
}�&�_���db���p0��N�
9u]���K�h�)n�=��2��q��o�,R�?����Y��ot�����H%xR�����(K
xS���
�]�gs
�$�5��<�t5"DU���j�X(c��������������"����
�:����/����X�I�r"�V���
>�
�0�^��kj�(k��0��{N��b�t�
(x#K��vIR�C��Y-
��V�����O��['�j,���Y
�0�z��������c����0����H�� A�'�����Y�s���n�����rj���o����Y]9�����.B?�&�AW<u�T���
�}k�Z������d������n��T�:�[9���)�D�U������*��%1:��Rl8�M���Z�S�p�V*ug�.�N.��z-��
�uMN
���+��g� �3Q�#Y�
BG����sU�(��d��4$�g����J��S��I.\����a��;�{M�d *�[�b�jWj���>��k��*�Fxw;�r]�4��5�$a��5�STT�"R��wt��k<����(R�q�.J��=������Q�s�� {���F��(87�R���h?�;`����*��}�����+��
���"
��
��������?D��]�T�
��t
�~��[�pw�=I�N���K"�r
%/���:\��/
r2��$S�I���H��c�
_E�r%�)s���Wo4{��m���1�(x�S=b�a��J��gAv��f�
��W3�^�
���R
N������O�E#��xP�������V�����8�5\��R�>�}��L���K�TY��Tw�bW�S�qy�.��!Jf�
�;C�U���;t ��O��r�D���_�$OKWe�!
��}��-����,��-wH���U�[��g}5����@�
�;2��!�s�����W�t�f�o��1�UrN���1��<��1��e7*�����L�>�n�
�y��� �z�������K�����
�T�j5��|�`7�ef�)9N�|�q�����i!r�� [h��T
-�J�:���hx���_�E7��@��y�,������8tO�T����<����3����<�TzW�
��J�*;�[T���>q���;i���{@,�}l��P+����Z�R�{�%
����� �UE.Hlh#*�6/����h7�j40�}�3@c�?��=�a'�Au$ MD�m#RU��Rr���(�������Y�!����Pm�����qY�A�
����[�R�nT��V�����{V�Iiq�RJ�[>zW4�����5����R�u$��d�4"V�����rSD�B9z�����Wm�V�R������a�%���Se��gT�k�35���Ku�
t� ��������UTyT�n�]���ZjPN���i��t��a�/-��R��O��{]�b���
�u�������R�7�V9�/���X��Z����Hw��9�YI�i3>u}� o}�� [gUEl�Bxn�P���"rM[3G���G��q��U���<j\�
��$
��
0������b�4���{5��,�#|^
��f>
�[oIJ�������P��E(����_Q�
c��)%���`�$
���������E�*�;
�S�(I�����*7]]���45
�,��K]��nw�������� �
�6�����Z���N-��<�&
XB��|��t���r�R��!�:�x��i��G��$� �$�0^�&���]�y (��[�X|�A�?� �#$�?2�m�(�=�2������e����V�[v�j�2
n�B"'KW{�$�[Q��
Y���� @�=�
hii,c�q�xB�� ������b�Z���@X
������v���L����-0H�����s#;�vg�s@.���I�/o���/��@�=�"^�j�c����HQ �z�
|�a���)�?����v9�N����N��~���G<��+�.hw?�HS�qs�l6vC@#
��]�����+���r]���dfe
\)��E�
�����>t`��-j����>�6��
��4&�lh�Z9
��
��Z�KC��oJ���z%AV�X?�K���HN�m�
�~������D�
���ceW
��
��=
��c(��
`McAM����N���gF��,�3�Y��|�%F�tNAW��iS#��y��F
��\V�S�����+;����w4A��W
m.{5|g��m�()��okt����{������s�^�.�9�9���-�����K�9K8�V��H��o�q��t�
���,5�)!���
�#��n���]Rm���k�%��U�Q���Z^�M�S-�-�V��r�Q ]�j�IQ���x@���k+�rz�W� ����y��8��_ �n�����9����| ��J�������t��H�@��a����P��)���9�$�w���.k��.`�s}�[�|���^�r��yw�^+��������4>�:\�59B{W7g�TwI���s
�m�V]��RV��0��lM9^��= *Q���(���K�������GRS����f!��������%��=��_zV[�u��[�
�n��T�1F����o+��A�����i��!���i�E���=1�:Z�����#�EmJT.o ��-������g-V=5�P���
��d�R�Ly��*e�p#9��K��J!����m�$�7R����N���<$@����h_��N� ��_����]R�cAB����y9�[�7����k���om����{7��[r�\�~������O�Z ���\/oQ���D�N0�}�M�K���_Q�\�LER���`p��5����>���Zs��\�xR#�Km�����nU
����a�B�K������M���%3�\��|kUU5XW[O.��t��[����'I6��
��`:P�:
�;+��'����%(A1����v3 L���I��EA��mJ��F�M`�+�(���iUP�;��.����h�S�n����]�����p��V�0�&_~Qq�E����X'%�y��Y����p�TA��6
Q���>Y�N��e�z�I��l@�&�6��d����nM^�E��w�q����*9��)�����p��H����G�Y&.���=h:�Z��[�:6
'���p3�/�4�x��"Y
,#�k"p�@g�A����Mg;��(�U����k:� 3
�#�e:�u�:�����ne�U����n����Ex�{�D�������(]�6s��������c�$���0�RS�R�(�m:�� [0� ���nBR�0���c���t��z�(��
���> X
�a�X5�
������H���
�:����4�yJ�����K:i��"t����� nt�����s)�?�+�R������/��~Y�Z�S�=g�D���7v�� D����|���R��aRE��G;2���d<�����c�\�W>�Q*�YT}�*b��!N����
�EY�����J�,�^��#�/i�>�Iyo+?@x�C�����fc�
�����"8oW���HN����&�
0.W�7��%)����:RC}�ot���|���/SL9h$��
�3���VH�|�a�*k5��HU^Z*�-�NM`_�
�%�����~�\�G�W�@�l}_������a�N�p�zUn�QR���o3��oPW/����J�����=9��RU�h��S����z@gJ����
�A�^
[m\9xo=au��v���E\��:^to��sg�Y��d�
�s�J]9�
�<9����n_��>�k�-<R��U:�%��������_�s�>�
���hD������� ���^��)��u�R���&������{5�����? E/�>j���
v�{�[�r�&+7fdp����g�mKg���p
����x8���B:B��e�
U
�(�����
��y�*���9_�#�\����M~���f`����pi�$+�Z��O}�*��f}�y��i�����$��iX���
��`���(fh_Z����s|����l����~���^��
L������x��������9�����?
DMM@��ol� KE���$�p����i*(������@��Z�-L%�Jwr�L}If���I���/YG_S�����k�C@��r|5�x�V�k@)B0w5s�Y.�cq��t�=�r>�b%���65�
��yu���|
��&�@�
� �<���W�X=%*O(Q�7�^��3S��
'��DRX���^��\�\"�e�%�Q1<��A6��%��Rf��9��%�!S���j?�h{("�YJ%]*+@L9F�*����6��g$�r���>b)�Q���6�8��(w��]E:w��7/���v�����W��S���WT|�u��EJd�<����K�\��t:�/E��~��(��i����g���.���`����3dm
v��UMy�GQs
@W=6zG��px7���N���vs��}UoIp��Pu��0d�%� �QP��i,yL�}i��M�
j
��d�� �����_$85o����M��J_
�c���v}�j�iC�3�Q�
@tH��5��R�"��w���ev�:L�������K�&�v8�H��n �fV�1���=�����U��P���x�
�g��yO6gy�pp����!
*(@1����0�"o3�>x���2U ���[��� O
&�c�{�=0��7���} ]�
���v�����Q�
����~J��S�X���t��Z��Of��
^������M�
�c7�9;m��x
��M�n�q�5���������'�����N���/R�
�G����������~NV�����6Y M�����Ry� ���3mU��1#�����n�}�~�q�CR�bX�����G���F���]�
�����$e��;W`tA�M~e���V#����t*��]���r9>Q�*g��?j*�w.5�1i�OP�x>
�)tef�Z��$�ZUf���>.6X��7��*J/�Wty���m���Do��%�� ZL[y����a���G��5/w+e�Q����[� �*,%��2Uy�.FX�W���������������#pjG~��j\�y8������j��gP������'e��S����67�J
�bp�����6��d�o,���S�
�G:��w�V4�#<^�Y:'�%�����"p���7���GvT��������x��h�w������k�Wu�}-_����Fv2�z�< .�b%�u���Ph�SN��)��$�9��'�=��;���\4� I�k�9B�$�n�('[T"��i:�
��hW}�i�h�������Y
C��j���j%��II
R�����_&}��xJ�W�o
�
8K�x��)��V���e�3����v����{������/-�nW�K<���\9���A*����O��UZ����=2zEw�.M��j.�<�]�s���@`�]l������
�%
�����]��WU��G>W"d:&�kFa[{�]
�x�����V�������� ��:��z������O\�������BtP���^m0�6;�ak��<������pQfY�r�G�u��4��):�
|P�2�SN��
61P<�zp������
Y�q��uP��k��9��A�9�`���x;�C���N�_�e *���n���i�Q=E��R���D
�x�[���
}
#*9w�c�4m�j��,t�0P�%1'��M�e���jC��SV2!��4i�
�w���H�����_�S������b(D
�)I8�`
b`�q) 2?����
����u�X���T�����1�����v�z�(�$�;Q�����
��SH'K�o}�v�U���<�A>�K�ye�h��u��i)�l�
���[�9
�{)�p�|MY��=�|s�{���5y[�V�����c
���H�2j�,S�J�I����9,�w����n��(�Rt�O
nx6EK��
� �2OUu��4���>�"���F>�x�i�
�C
�hs$�%�p�K��HgU���
j.l{z:���qK����f?� �r��#
5m��np�E
<�-���q����
k��H �K��W��Im�%^#y"y��������v�]]g�������rQ�QD'��RH�^���dlE��\����/����&-�,vn�vt@��������9���������p��s�o.�Q[L���V���Ou�"��b1�w��wmeWW:�d��MFd�!��� k�c����(���*V�p{Z�����y+h[y����U�����@��~�m#�8
�7��'���,l�%�r�Bz��Wf���"j@��(��F&B);�[�r`!uE��-��x�G������I�Y���}�9���Nw��������I���3��Rj�d4��z��z?�X6�H�[������u� e"W��0eP*�.�
r�rp? 9Q.�|
�>z�D������C��"5E �s=>�9����^z��WT� ���� ���YMM�"��M0�Y�nC�^.�V�IRg[�8����#����T���o�mU!*��$������N
���{w�X�-i+��Q_�C/����I����$UB�'��&nf?��B��(���,���I����P��GH���m�H
�y!9B ��t�������]�I
����}��8EO8F�Me�?�������dg4�gu�����e�S)��d
��v����q�
G�
.�|���X��J)*����/�|*9����]����
��]�����G<��>v��,�H�����H�W�L�+����LX\-���G����(�_��Y�IjLZ�pl�T���J��V��(G��V����q�����{�"q&���D��w'iT��O����A��6��r0�y���%K�0�N]���~�N��,{������2*t
bIk�U<�����m��ml���#WP�
�n}J!?�m�$�g�uQj�]:g�s8/��
~�5L5���w`Qsi
J0�UUk�W���������7�9�^���[AB,}����\d$5]������H�r;���
r.��x:��R){��\�*�s�}{�z�+�����ZQ;5����\�[�#�����X_��:�)�BG�2
��A��������.i�%�V3�D�0YO���z�nL�/�l��6����(v
r~�6W���`ac�A ��
�d��qi��*u�s����sx�UR
�:'uv/~Ei��=��L�~mib����c�����]�JS9e����zS���~��t�~�c�;�#��~����N
�+*u�P������6�
�kq]sT��Gs=�,.Pq�
������?���-���ZWz'Y��m^\�~Wi�$U���c>N���*�$X��.�]"l����������D�v;+�<���SJ-^�-8�+���2��Pp������P%
���9�@|��^�����coJ�%\����
�����l~<
M7�w��UdC1g������h��
R�"�MJ�B����~�b�9 }4$ ��� �F�W��R�Y>�a@��3��c�eP.��*���\�^������%S�#/�e�)���
�.���|��� ��
��U�.|�hs-�6\�����
lc�_vM�}d$~�y
��FM�k?G���i����
��?b���[F��?��_i,�s��7]E��T�w{���H?�;���H��W7�������t������?��$�����HjZw�"�3�%y���6�{��]O����|��J��?hw+�������k�����Q>z%NP���;�;�,��/�!����?�����
��� 4���o����B��)^.*��z����6���o7���T�n�,
'y������
���z/��{���M1����0�k ���R�����8��"_�M��p<)Gyb���+����{:
d��%��z�[A@��e� !P����4^����*�Z����x�q�!����JT��c*��5�wL�/�
�L��Wq�k�
N�u������'�j=-ot�2��h������O�������jD
sFu�~�l��/�|P�e��R����&r�
A5)2��Z�J�.u"�����)(�J�������y)7(�����&m�����L
��q
J������m�pm��%h?��������� �Q�M���SA���Mf�z ���6����}�G���~&e��v�����F�����m���@����#�8|t��*��N�sX+���.OZ�'��oy�����<�7@Y���������1�e���x84��~�[�t �J���Y�4 |\�\�����������}4�:����aQ;x�"���\���`t�
n�g�Zs���8�G=6e��)p\�"�&k�d�X�
O��4���m?�[(��(�X��:��u�r����t��u={�W1L��=;Gp�G�
�r����~�G��%u-�=G��+���>��>[��a4�(Z��jApT&�>
�8�zmLk>��W��O-#���6�6?n�S,j�d�
��
T����G8���!S����9�
�6q�A(��^D
�������@����CSu
u3��: *���j�[��
A�A��l�����;��+����&*�hJl��J��u�TG� r��}���N�nSn���
��6�/n����E�L�]���%?>
`�f �u��n�L��L��uQ�e��X�P\vMP��e ��)��R�j�syN4^����
�xR��P��I��&�G�E�'C�-(K��=�'8�,
�xkV�BvPo��.��I��{���&�����.��h��y��E��E(����8��?��
TtH�w����\
�*����T��
�Hp�iI ���#�h�c������r����R4�y�?�<f�*0�Z����������l���6�Nl�:ms/�g����t��=)�w~���
^]�=o�b����:�
�?�gHn%w���w[v�)�/G
���K�����+� ��
GA�
��$�v�6#�e�EM��&R|�R�#E�#��I�+pQF���n9�1�~����=#�w�k+�>��,��!��P�6��R$������J�}�ys�\�
6�t�y�R����v��)R#T�����
'�<>��lf����f��7�����.�����e�,B������(����]�.���HT�M�
Q��np�3�,���L q��tii�2g��
)�z�= ��,�H(����mZs7 [�u���d7�7*����QR�R�����PA�~�u�s.�����g>XJ
*:MwlqI�p�M�e��]i.���u�T
u�Q�=����zj�p��#�rb.���Kj�|�v�%m<������?f�#�l
�{�_A�T]{����wV|v�mo����
����� �>�pB
��������R�D��M�!>A
��/C�rM*��m,ET�V�������*`4k1+���0t�����O*��I�
%x�2�u)�SV���e������9�|W��S�n�0��v�<�
�~�z��^�S�����"1�{��a��Ww��1��Y�y�$/s.\L��7
���q-q��)�<��]����������#������!������@j��:?T���7��
$����7���9N�Va
O��������p����vZ/9�
�w
� �����Q&�
�� �L�u!J����p��o�&/�3�
�B[���1����g��fM��K8I�
���[����l�v?����I
�fF%2;LVw��O&zT��zR���x5+[O}C��
��v�L��5�)���D���zQ�"�\g��Fj��������5��<�
lS����
��o]�,��V�� ���$���2���
����)�W��\�~ �K���P�4'����T����U����U��g�H��9��q�m>���lK:�� ��D:P����*Y���?�Q�Z����
����u���,%7�������X����h8'@�*�i�SS�~7(�����%M�z9��MI�;�|���5%��U��l���H�$��x] ��Du����L'��J
�I�cv��uu��UB���
�
����"��^W��K@z��i�j2�����d������*��:�����
�ql]��� E)Mm�UK"s��C���=q/�M���$H;��U��m������
g�QqX�*�%����W��8�����4X��
�45-��8+���>��y�� ��qg����r'�7��I%N���K����NK6 �i����2���
HI��{l�%�tF$
���
&3�St��y7��-� 8����]z�SK
��
��������W*k=������j��h�Q��U�huP����~��qd8���L)��UT�]$�
�r��A���Q��J���+�y�p�h���r�'1O���:���hTT���}0����c!2s�l�kY��e/��O2�J���ud��;�����!Ko�>��f��������K��v�k����[�&b��~t���_7J�g�.@�v��
�a39"���&qu���R*��9��p!(�l���M����(����Q!��^��DP�U�z���!8���j���iMm�4����b�7���HM�[����[:��Q4v���I@�CU��At��sS3U@�R�
)��K]J`����`����~ �����"�^�,��9��xj�TGU��
�|�4jn�D���
���Gk�J]������\y��Az������f��h����H��Sgi`�Ye������[j�(��~�[%�z�T�'��I}�<@"N��'��u��s!�(+��&!QiRa��(���7�V���������m��[�:ZY�~�X�9��Yb��*
?��`��N�)����*�J�%���D�?�u��G!M�{��l`�Zt�J���z�Y
�H������� }�mp����QY�'
,���� ��P�Q;N W��,%�^��$*@[OJ&
3Y����
���
�)�H����������z}�4���Pp�����h�8�}A
��{����d.����Q_�����u5#�D�a��I
2O5H�N)x ���
LzN����Jq���{N���
�� g���+rl�����
U�2C�Y�
�0���!�c�AW6a�
U~��
���{9��|]����i,,
�Df;�E]N% � �����3N�b��m�8lSP�Kygw�����U�Uu����Z:*����B�I�r�G�����D��
d4���$=�Gt�K��Ek�*{WY���Z�G[c�������)r���JEhl5��� ��Z�KX].�RH\����u��V�h{P+�ct8�*�������7`�o�RU�H�6;w��ZPM{����p���
WC,H��[���ov�ql2�����,�.�G����������/*�0�0�o��}�����|�4?���g
�> �$�>��K�
��jr\���c�
sk��YI
���
���[�B�
�B��lQ
pfT�+��
�r��r�
<�t��~#Px�R�q8m4�(�� �Zp�*�p��q����k�����CK]��E\�B��jXX����*��h#_�w�HW��K����������;-�O��q�XG��#���Ip���J��^x/�Y��������������7utU����>;@y�I3�^h��
.����c�~ND�\�#d�*�Q�"��9����u`<�+�
sR�4
`UJ�K�y��9�u��\F �����,�x�v�t~$���Q����OYQc��
g�\��,�5H�A������7����V�$o�<)�n�X��V1�sE!���s&�]��0���� '�
�Y�G���$`e�x@����j�
<�S�����ic8���+��N���]����
eL���Oo;e��u�&U#�N4����a_����
���vu
�>U0� �M���F
OeGYgA��8��
�xD�x����,!7�*
������I����pxYy���7�J�����R�
�z�4����j�
��H���U�
�@�u�u�&�U
u
����������V1<j�\B���+��9D:���/�E�*)J���O��o�&��o�[]�[����
���Hh��b�R7�%|_�f,w��������1�^��zdzrW
�q����I�� c�@����L.�K�)��� e�}��3�K\�S��n�I�
E���������
�g�vm�)t"u��Td�P<�>��G�
L�q,P�6w��
q��TA���+?��R8������:(]�XD(�2��I���H���Y����p���nv�?9~I��&�Sk��Hy4��eT
*���.e����r��
`
l���1.N
Hfd��!&kI�JE�?�������N�
}�%��~�����w�5�����)J$�A������b9J[+��U�y/)�orH=y-<
��zun���5h���L��*9k�L���n��C(-el��mk��A�@ ���U��.S�n���}T�@L��$�JUbAH�8UR! �nw�%���������$�,=w�R�Q���3��Q
k�BdS���>������\��1b%����><@$�S��U�xC������s�%_[�R�+\wT3�C��\)�w������R=)�����uS;����������w���k2u�l/��i���
\�+U��hQ�� 7o}��Z$���
V_�^�1����{@���7m�r����|uWSU_�jvJ�vAZ4&�<
� �l7V�2E�gw����u�
o����,��0N)8�7���>
'N�{Cc�����d�7��m�gT����w]��I���zv:����� ���W
{��*1z�O���*(��~'%����*���7��);���6�H��e3���U�\�� Z���@Y�����b�-
`�?���1bI�-E%<\Z,s�~?fI��(N���wr��R3��4%��^y�j��@tb�����;@���C����oG��Fh��*��q����8�
`9�3�#6������Dp05�q�M�j��.���x���?�4��&
�(�%{��b�#� �����[��^J���
��q� �"��%k�u�����i������ O����}��:�d����h�����z�;����V�eg\���))�b�Y�O�����'!T*�����D���z�xj�� K�uJ!/����e����55��W�� <��~C��-fu�t��
P����_.a��A&Dr �{�
��r
*g����[]�����&�-�[�L�+��� S���9�f/�t �\cjb������Pdv;�O�.%�Il8
�"����p�C�J%�;�g���
�?��Xf�qS��7T[�Y��Nl8�������3t
8�o����Y�+�`��R'p�I�g:h�ri�(�q���
�7��H�H�`�������P�z`J�a��~����g
�����"*�kO�������{�N��M�%��
�B5D��%EM�������{������<
j���
�a'��%�_��b{��
AN��T���A@�^�1Z����)����T�~�W�?��u���
��;E�$^��
�~4`���x,YB<�gJ�ax8z8��+R��8�n����|R9;T�Jbj|�i���#&���!e����]�R�:���tX���
?4>����,���H��;=J���e�PYQ���!
��hT��3� pG��l�d�<Z�mT't�*e`��������n�g
F� B��s�]w�_G����u����@�������%�p�������dt�
��S�]��zS
6W�9^��R��p�F!�������5��}�o*���q����G�\tW��`�]T��
]d�r�@�����������<�a��nny!��2�4��'��
�B����~��x\]�+�_"_�W���T�i��]�\s;&;"D@z ��j�����
�`��RH���Q�bo�5*8��
J�����!�s���z�f�;+�<�v)f�{��~�kI����2���8"A� {NZ������sm
�����(��O���nI�
���� �~W����
�8�0s�����@8pU����k�p�2s_�N�T�
����n85���0z�[��mx����U���#?���}OH_�
K��1�?�������H���^5��x��i���!�
{3�qg��uN���f����RE��n��p9QFYE
~�n�JHq&y
�95�F�Z��
��M��>���#�rl��O<;��G�k����g; ���h>I@aZ�H[�����P��[x��Y���/���&_�/�1����_�m�z���������2o��u_�
z�L6���7��_D
�Z�{$�I)�_�g���J�Q��Cw*���%���"�w
]�IF�K��
z;+�/tvhR\��S*Y���WVn%���R��=j�t����
s?*�e���]O�VA �H�?������e'�K���9��Q�R �j�5���bl������:VU�]U {���kzA�T�������
�����6B�C�vLn�F���M���� iV��U�������~
���������U��<�#�<�_�(����#C�o���:�[�JGQ��������U~D�F@���O��� �=��$T���D����.�r����
���
vFt;��K
��n��_���?�������W��g�w6�K�3}����p)*�$ZAk�zVw���.��Zb(Y���.JL9D������|�1�
��'�p 98�-�F�_�u�JJ�)�rI5W~��c+��
����v~�<�<%�?�"w�%9@�����G�>z��0m���S^�Nd�b[�����4>��E
�[
��"vH4���\��mY�)�\����8��BXE^.���
bt��3v��p��Z>�@u�i�i�E���
KHS���������
\�
s��|Ix!�Y��G�&��������{d���#p��A���X
��?�/��LD�K�]H:��Q}�W��l% ����u�t7�t0�0��3t>�b�v<G����$eu.�������A�~!pN}��%�: �^��8�X�����hLY*.��� 2T�NK�v;�l6
�{��2����HZ:���"q�\����������x�[����I�����z��+S�)��������S��@��+�6
�g��G��
��"/
s;`)���^E��V��(�55}
�2
8tU
o>j;m���|���m?��M�#5�R���^J�`.��v
�?)��pq_��h�U�
�����Q !��M���T^j���#�$
�v�uGtHbq Nu��e�"�i~�'��n��Z�=�N��>[�e�^(Bb������*`&����q���adl*�j�J�o#N���w�
���
]1����V����[ ��R7�����u/{]V���� b��?AY
���0�
��I��mN=�R���
��'
��N
r�<8����^5����
Y�$�C2����L�Pl�����Z������K)*��
��<�m
"����~�4n�
�;���GJ�����Kv�v)�57���HnKF�9�5�Ux��#� ��:��6)7?��6`���k�Z4O��(
ls�)�.@?�9u�Nv����M��S�
�AhSN�yZQ��"+�����
H�v
ws�8���������U
gI,F�ry�A��y<����EQ� ���1j!����,3�?CW��������Jq������-���9�����`w�8X��8"���������1/F����=�jV�G��8���q\?d��~q��4�������Kq0*���d{:*q�Ej��a�
��F���[5��
���)R�L5 �Q%�.Y:�^
����H����B�i���e��/v6sD�
����
n>E(Y���7FU�����
e�hF S�.��I���[~"�����������1�U2�(����THR�Z�o4��E���r�g
�x'C���s��j�����������d���e��=�g�����<�>�5���w>�
�b��
Cg\�����|�nv�I&W�i�6��TT$h��
Q���
��i�(?z+�fP��uxj9�~%+����w������������UbIu��?nU���x�?B��C@3�
���p-@�:-�x\��Lh���Jn"�(�����-�
j�
@��%wk�7����0>4x�T�����*�����~Z�I�y6��r�u$"�����<��T���� �
���_�����8�JJ��EI�]#_>������=tN8S|������m�=�V��,#M�����Uh�i5�s�b���c�}�:��S��.o7��
G9�;���D��oz��1�����&��dQ5��&m����Mj��E�����
(��F>
�7���g]7'S����V�v��s�ON�(�
����IT&���_G�=�/�K&2�y��7�~ ��R�$
�U!'�?�����/�!�&
�~��j[�(��xRZo.'
�2�04Z*�����CW�����4�,�E6~������W-%�U���r\g����%A��{��%_��������k|���[��<`���}
����/e�]� [��G 7���}~�����.�K��q�;P��K
�S�QC�� V��qU&�g������J��a2s���z� R��u��aU�0\8ZgVR96�������w%�8 S�q9�Js���>.=8
�e��S��f3Y�;=�8�Cy��e:Zp��:���g��oM����
_�
�U}���4R ?H�.�C���������=�y�O��:&��R��� X�cN��WCY��TXT��5�wF�*��9��|"�k*����Nt�����Z�7x���1�����HRKK�,;z
P�e��g�F���n;H9�/j�����k
`��v���f�1M������$����
�����t �n"R���v%�9�r{
o�*���&�h��P��>�,�$Q�^Z�_���{ ���d�`�!_��+��Lq�Q�7��(kS�U�
f�1b�a+U)a��k����S��[(���-�����q�E�������{n���=�����X(�u�Q�Ed�����vr�#��eor����������
�y]jY� B0�B?�d��^��������F�5��/g�%t���
��u��7�?���{�Dta���~�$�;�2{�H�_'/JXz@aF|-Z�N��Sm)K���H�O��
?��B�G�S���a��Zz�I {�G8Jz�{r�ZK`��a����Ve&�^��.���H��p�$���
����
A������j
+��'Tiv�^��=��S�2|�g8(<!������pY[X���'�� UPSg(�k�..��ye�����y;���Q�L������+Q�������������p���v����������o��&7�%W>m�QaS�d&{/85i�����
����
7������-*ZW�Z��
�D
�Y�{�������L�R�xH`m����k&�
x��-��\j����Pz6E�a+=`X
`m�<Mii���Q���Kx������<0���f�n�~e�(H��B���
��r4��]j���i]��{�r��P ��+8@��j�.�s
R(�_������|�j`���A����nH��1ip���Cp���M��/���t�D�l5�s��
t^�+��c�s
�Ak����*����T��"�`5�����*�P�D�LJ�����W+/*~B�{T�:
��p�����[
������S�V��\Zh[k����PM��,���Ie=�X�k�Dq� W����)�6pN J��F����
k�u9������7x�r��!�'����E}����"2���z���A��*K�����}�
�b$
�|�*��Jz�f��l�����~S�O�;�Y2����+">�FGB�p���q/��G5��� O��Y�{\�P�T���y���|~������]$������l:{z��b oF��aA�G�j�\J��K�V4�z�`6���,���w��?���V5+�W�V��e7!N
�e�q��Y�O"�_�N�<��=�M �\�Z�J��3����U����1_��O
dp��l�4�Kv�%�'yl �
��ds3�"�U���
^k-�mu��\��
���[�
����`H2�Jh�m�{$ ��5"CU]���
7�MM�*H$�Rzk��5���C[�J�U�j��fBW�N����o�� w��r
�)�yi��v��8��v��cV~�k��BM��$H�0r����&]Jkv��b� D
��Q��>'����z�R���^��~U.y(��As��r�S"o��o~`���=J��&v�z��PBB�
��&���P^�f%.�l�klRbW���1�zu.,/e+n�
��� F�D�J�j<y���p��G@Q"����I�����[����z
x���l�r�2�2��&
����e����S�L���i���hm�v
�>������[���
�c�Y����Re��2"�7i��p"�����!�v>r��pw��K�q�$��
/�D��N.���9�U:�d��(}�Q)�>��-��J�M���W
�r�H�xUp%�p����$]
hd+�[�L������d_
D�����d���������k�����;Q�� `U�*G���+�h��>8������u��~ ���n�b��oD�Y�Q����]���\'��?���y�-H5��H
�]Bi
e��V��_��5t}��y;��>G�I�T�+uY���r�R��g�%m�
�}�3R���{�V�5��R4�|8�
A�e� ���x9�D�~�U(��k��Nqo������x��fQ_#,���ge"E�����3�m�1������M����L�QE)L$�r�U�uELn�"�g��57���h���&���H ����g��trb8� 5����_Q�9���Y^���4
�?��1��_�
������
���
@�E
�a��_W<.!X�Sd�.Hte��L�zU'S���=yyn���g��>����U���������
�s�) B=f����ep�O����t��U�p�
}Z�#�|@�MVY��F=����<b����Ku@vY��z!��%�5({k�������a8<�$r�8F��V�����!�
]��D5�X%`��+�Y
��?�
:�����?����*`�$p)��h�R��>� �,����
{]��L��,��d����������o�[�
�
X�<�pR�0#�N�v{$��6��j�%oES�g�����^�^
su���*�����,���������(,��2���u�\j��%�)i2u�R]��
Ak�X���
�f@Mq�W�V1�]��](�7
$E;s���U��
^��m�X��|'��I6����������"JjPi���j4�U���:�$B����4��^�~
?��^�V(v�$ ��
�(D����W���@������(_G�a��J9\��Q{>Q>d� �h1)
U����m���Q�I�x9��J�3^&5awH|V�y��������c�)�t�V������%E��s��xb<��wr�� y����7��nK�\I^{�RI�[�aW�6�f�!�"dg~&����v�"Q$�r��>��vl
X��c9��_�Z��
'q�������c�MKO����������^��8Bf���o ��R_��5[d.�r�z����~T\T*A�}��$�08v� ���d�6nP�C���
?��
�����YLqu�B�#V
�Ev����p)g9�v�t4���p�.���Yn�`[�Nk'�S�SR��" ^��������rS�p�?�%�
��}A�
�c�8,����� ������ ����gr��)E� V�6$���9���I�����P�"���p~"�<�����ky��+���
�H��G�*��S�[���2��8���>x>�}lB���Au��[��r���s��A�2cR:��$�M0�����(J�
18]��M�Wl���T D&��p-'
��KD��-�O�p
������(I];�[��C_���:�u�
�;XjaP��Z��r$P���p�>z�(T���~p
n����A�0N�[��?��B�J�x�r��@e*��^uo9k�,���v
�
��@������N�C� �����>��97w����3w���Zj��( ��}Y�������F����������w� �y���u;BW��r<1Wi����X��R/@��C�5���u�|$R�Ajp�ZR;t%I�����y����6r* ��s+b����)J)Ogs\/;�
�Z���6u1��[i�����C�s�de�n
F<A��Q�][
������>YQ!���D��M
Zs��Y�~^\[}�4��
s����Q
^���IY\�t�@n���C��J�,��)��R�-�[xF��@�DQ�]
}��Vv��gu]��I<���
x���2 �g�������l��~������.W
�;�r�md ��$���u���������J�uy�C/��6R9�^�[�E=KSO�>�b����^T�V�|P����dK�4�s��
����:1���Pct���k������+��*�M?���%{� �e
Io����N��8���XR�K��_�z��a��
���4|��23�����R�:)���`��(#��O�,]D#�Y��h�M�R��
��{S�,����,��]��`[�a�/���%9F_�.�N������8��8��
�,w����o-2�����2��
vTc�:���X}�H,��� �N����� *��
�����E�����}�0��L�Q�2+r�
�qt��lC�+V�\��*34m
����of�����#��#��q��t�{�����*�D^u��-gI6<�������y��r����1�J�@�
;{�B
d1�h�^n���n���Z���8������S���k�+��U�
^�>�B�iU���������lWF����5�
��c��S�M��� �)��D���*_��Y@>������T
m�]F �����'���G ���k8�#����(�Y�Oz
2o�"��$��sM����������(K;l��-c��m��cbz��m�Cf����@��*[���\��E(�����i�hs=Us}\SN�XL|2*��hu �AA���Kl���P4�
x�$�)`x���hQ���T�x�V�l�>'�����u����V���:�C���:�8��4�8u[���d����+�����<n~j%���n"N�V��Lq ����������]��;���>����5p,��^�
�������t
{�/V���
s�G
D)�R�����3
�a�8�H=���&Wl��Fi���V�z��������<|�d�����������j�J>�T@�����tI} ���N�@�������t���� ��i�?T�Q����w��&�ZI%B�G������zP�=�� �j?^5,�L�CRR���`� 4� /�%��(��n)|��H����
��Kw�G���W����X���.������[��������Dd^�L��K
����r���a
bW'G��v�4�K��&�1$�O��{?�5~?�m��T��F������~�/�'@|��)��F
J�����E����-Ja�����iN;M�ol��%�%�3%C����r[��R;"t
zm���C��������?�O��E�p�=��.��cl��|?���
�8�f��m��3C�RY�t�M]dz�>����4���B
G��9�UBTJ��0M<v��Y��#�V��o��b�X ��F*�����pL���
�\k
A%iA<�s�%�W=��.���8�CR3y���[�k`���(�OE����s�����
��.�r��
����M!=�/��P����|R��",������4���[�P��"�u������h�
=�1��DUx�OrK��c���E�>9%*���Y��L���UU�$�W�&����K���R��?�����G���)��*q� ����*����w)5N������A�5p��E��m���%�
���.��������U,lZ �)��!`���y�<!P��.�i�;�1de�T%�7��F-�m� ,��� �U=l�������|�W�����Z&��i](J$��w�N����v�y���W�/�����]�w�OY:��H���GU&�P
��D�S��kYp�+|
3 ���f
��W�����E����$N����,��%zv���P=�n��1Y��
L�Ul��?\:&��R<�K�������8x)�{�y$��x����@�j�� i���C���s_l/6�!8����
�fY��.���f�����EV��Wm�u����r������Q|Ki�-��� ��%@���)���Q���r"S8NU�o4�g, GKE#�1���&3���lIPBp�9(�<m:]�U���k������#I���h�������}Uw+vLj:��~�h,�b���j�l
f�e�$M&ZS�N
���HJ.)j1*����
��
�q��#�
�"*������{�[��H����F5L\��v�%3�@u�z�u)�E ����hZ����=I�����%��Ve�;�2Ju��z����S�����
P�po�c��#��Q�7���v��
�LM6�H�������)����}�7��}�!���������87��_2<�n�
*���
��RE"�+��h~�_�\
�]:�I��[|��
�����S���(����_m4�o�_��������O#���s��0������
������~�M/S�=�����LnT�G��"���l$����zW���i�������
T�b�x��Gv�=[p_J�{j��
V�E
��3�$�'>��Jz��M��(j���'xzT�r'y��7j��P�!j�
\����
B����E���=�;;Myt��
Uv�e�5��4")��mFT�2��&�Yr��
���]�����P��$k
A<V�B����
}������=����
�t7�a\z-?���#��G�U>�L2������= B�� X� ��I�z��� �a|/��Dro���';���Y7�59���[��4&���]���D
R<�Wr�sO>~u�}u�yU��7��0�1M
-�a5h����X�Rs�p�����xg�P���J�(�5�u������?
Qs� �$�m1U�� �#�\'*\9;8��V�\���^�����P�+�R��G�}�S�FA��v
?
�(��0�����h�z]}W���N���X#+�B�
�~�����HW��"O���#���2�l�8@���kJ.���`�*cF����%}���, �F�"�xV�4
m(B!O�P���5m�����;��0��.v�`<o��C�h�K�tKG�u)c�XB�$w�o-�3p����
�7���}\Y��������&o��c���tw��1=�S��$�?
pB��R��<����
��F��j%��������
A���>uj���)z(��52�A�%B�P��M4��GE�*a����4r���}@�
�m��s�����9=5Y��nKU�7�,���
[)�R"��]u"���"��(��y$�_u
��Sj���n�V�d�\d�Z�FJ���:r�)5� ����jjri�s4��]�)�����Q|�K�0s�cjC)
S�����sD����%g��;������QN�D�6�*�d�7}���F����"��~���z��(����C�1]E��>����[�X5,���M�;�����G��)�]b��>a�^\ �n#�{.o������F��utI6ySn����q��@� ��Y��������:��
�
�t`W��\,TU
����Y
oq ����� �<��@��� �1����O�e��T!���h��c��� e�
�=�t^n�PY:�
���AB$hKT��
U
?^����>O�P/�����
y^[�I�(1��$�Hn�%���G���p������O�G���kb^
0��]��s�=����W�[~�
��9�������z�G�]��Y=UBnd�����%��0 �@F
@`{w�J�b[A�:/g���:
%�#�Y����z
����&��J��v�Lk�;U�P*<I�:,�U�t��K�<Y�Y�Mn�c���,��9�������i+���i��#r?$���z^�I1OQJF^�N��1����7����bO�zv:�K���+��M�H�U L$Md�EMa39����
p��"3I��
x�A�l(�H%��]p
�Tl��G�t5q��M�S3ej�zi����
*��n9:�U,I�IJ%l�(T$�c���v��������TX�>�8��� �k;ewI0�x�0�m�%t-u%.���55�{n7t�����4Wd\S��]�
I��+���E#�q{���81Y��:�KR��.�?Y�T
����-�����:��,���m��\%1j'�����
X�c
}����[�c<�
4�ZR!������T�e���VU1����Q�}�[ 3�S�
U�1>
��a�KV�R�|(��*+�tX�=h
�"
WU��3�
���
(^/�6�������Hi�x
��_�����}�Hj��mv�\;)VTX����� [t|�+t�����\q�9��8������� �aJ��H�A8�4;�?n;����,�6w���5�P���'y2t�� eO���������vN�m�,7��c��Euu���W!z�1e�������SG�6����]@�g�PMT>{��T��
��."�
���OQ�0W�*�8?u;��IF�
Px/����sq�BL�v�j
���Q�1
~t���W�|+l���
��i��Y
��%�F,������#N�<��v
�h�
���e��PR.��GL�(y��:@m�K}��G�Pb7����Di���
(1TB�=X4L{lT*�
���Z�H'&)�zI�%j�:H������5�������D������������4
(�
�R�<�%E
�u�.�{
��0\��oo�=������%��wFq��+�e �+
����B���J���m�(�xxv���� n�m�������`'_
�n<XQ�C.7j�6��Wy_�
�����uX��Y)jF
��G��4g'&o��T����R��DCo`���!Y��SeF}x�?J�� cT�rSr�����T@�:�0���G����8l�?7/�N���(�P�
��*
�)�xr���X��6Uu/�zQ�hV!7���=F>,#*X�����P��F���JN���
�S���M����~5A%�\<�H�1��J�O�{�R��\l��Tu�N��v5�����w��
��8�g����$������Y^���U��
^���j�>I��� ��j{���!���
���p�Wm�o� ��;�N5
���Q���[c��N\D0N���GU���������Ry���M�K;M9���yUn�i��%2R��@�V��R�����)����h�6}��j�
?�[-�[�[;\.w�$
_N�e
D�D`�yZ�<��U�28�&0O��
n���Dq)����T�������P�q]�rZ�
*��-�D�������S,/������7#�y��x�z�]�4��|u�w ����x���M��RA�la
]8��������� ���l7��&U*�b�-k,����h������
B���w�)������Y�g�(2�\I P�e� ������G~��������%�=S���b��EN�:&���Kb�����
o
Pv�F��$:����1xW�vI��J*Vu�&%�_;���hx1N�/��/��:�r�`KL�B��Y �|dt^���T"�
@$uF���J��;�
0z'E��T����: ��&c%���&�"����,�y���o�u������@e���Q��������@��JW����*��6;�R��z�H(�k#�����<��G������j��j
\�U��#�����S�=�d�ps8b�[����D���4;P<�p�[��IeF��I���#(
���Y[������GR�Ziz�l���2���Kn��:��_�5y�)���nP<����N�o�2��M6U���DQ���?o�A�J�`'+R�\z&�!�
mZ�R�eG�-Z,nu�����%�rY
��/�Q���$��?G�q�r�}�������
�2�:P�^�U(P����������]��c-�}�
(�~x0{���#�Q������s�m\,�
��U0��Qs��i%`�n�<+�c�1V{=|��������5�2wJ�U�p�� hp���#5��!�P-�O���U��!�P�������&���C��t����u�;��U�C���Dq�l�����|�!�*���
-�������-�Y*�z�4��
��r�I/F�=o~�c������@]�+���Ol���1&AB'a ��T
���zR����\dU�o�X����e�G ���j�^m���_�:�+uG)5��#�<�1=`�.*����G���)%��
�v�f�T�=EP�h>�����W�����������VAm�
NC?��r��� ���2��jTW� S)�f�t���?�h2��(A%�������Zs����
��T�;r�� �E��dF�V/�?��{@��b�-i��D9� �`�r�Ut��U�k�$��r�x�*Y����j�����#�b_ 1H�A��k�G6��L���=s)��Y8��.���z�&����CU��DI����s<i������'��vr�n���\s�z��|Mqwp�.�s���<�m�DmY*n��)����q ���}T�������P��p`��sE��i'�1�L�<���j�\���:�fM`���n�.5^��B�]�v�a�7�����BQd���U��y?<2���/IV�+y�o�(g�"�A���"�kd��������E�w�I���p��&��y^�qO��5�
�
�
�`8�d/��\z �#5�"�2i!
eP�#J>3�����Eu��
�b����W�qhw�����E��q��g�
���7
����F��k�D�EiL�ZE�+������:|R�tytr�u}���J�yh��*�2�7g �t����U%� 0�.���e��;,P����
g�|�[
��(�h�Lme
�r{���S��nzUO��'� ��.����2��n��������H�m.��}���N&�� �$����s�����Sy�0�8���cHi��9����T�//���3:�����U&���t%� � p�
�O��*����{���d;�i�����*��'����G�c�g�M�~
��
Q]y��<�'b)����#� �:.��
�C��%?��`O��E�Q���8���_�a���
���������=���������j�7�[�l�����T"�Un�����*-������(��QI�S�R�A�
iI�A �/��>�n��k�=���
�^�:x\��W��[fKB��1~"�h*�4�YI�2�2�*$���B�nY*Gg�k��( ����R����|�� h������=�cq��2���8�
=B����� ����T�>b���nQ��8>������G�Q��QN���ZA�;m�����W���u,5�$0���+�
_����(��hD7.�@��@��moQY<��_������>�:U�_�r��hV@��=�T.�������~��B��E��C����,p����c�0�:�;�m�n��1o������D��kq*���<y��Y���
����Hz��|$r�}.��E�P�[��U�rhi.�������bI���V���)����d��w~��~C6�7Kk��|�2���d'��m�1�}>����i��w
������R��i��=�8=�p�r��6saC�
Y�;���6��K�
��������W�a�����G
�o��P[����6�~8�+*�T1����@��f��iT��2Lw���T�����jT�rm�k�J�$�
�
p/%���T
~���F�\.'��i���i��D���&������Kh���������
]����w�^�)7�n��)& ]�t�����;�A����� '@;�)^��$����s90_ &����V@��&"�\5���]"��c,'e������mNw�J�(4 ����x*c$��n��
�t�&���������k�D�~;Q�XvI!�Z�c
���<8qk_Q
��}��D��T���x7��~�wXC���H�U����?x�JIZ�j�+�-�o��J�
�
���`s)&|�
�
-���*��\��59,K�M����TK����<@i�\�K}-�@V����O��O�-
:���:%�3��
��U�Dd��=w}�u(��
o�S�'r vrS��(�pj&�k�
j��?��.�ln{t�V8*o��S���P��>�
���Y'�GK�����|���/�R,_�!��t���I��j4��
�6�"���S��o�� V���*3��������m��%>�
]�;���,�TjY
5{s+�?��j���nv�"o� ��`����(Z����o��2��3
D$
i=���Sw�csM��L�!�rp��7�w�E�.a�xun��o��q���
�P�Oo���W���Q��Z���"��iu2�Q������rd�� �p�2Y�Tyd
�hHt
D��]�0^��]v=�7��5��;O� Q>]��=d���fy�vHz�#�������6q�H��d*d�K\B ��"!���M}�����f-�<�'u����n��!��,�b�����%�� �t�z<
�����
@����T� ��$���UW�.��T
����K��T+�e�Zlj�*4{
\���j�*�����.�V���z%�������Y
��^[3e(����5��V���5���� ��r����|d}8�XN��)�P��$m]����v}����:��REZ�.g��p�'�.�"����*lT�\��:�P
��:�9+
iz�'�p��O*��������:�]��O �D���5 ��.�+�W^C�C!�e�uz��>a�j���@VO�f`/�
��l^P��z�Lt�dS$�,�^*����=U�X��k��*�W���K���o�'��_�'����OD�
�
G�����o�������Ngt��W����mp�I:��-za4 �
�*d�JN����~8����r��
���������-�s�g���sh����u{<�����s`���d����� �I���A�u��l
���?:]����@��'Y�~,o=��-=���kQ����!
���bD���o%
���
�(�GqOJ�:���Y\�[gs�t�L(� ER$���[��Q$T�{�"�j��[��u�l��$% �����{g=���*�IV��,E�I&��
�:56����{��@@��5/�_%+���aSU��w�m/�3Q��hEf���:���N/E@:����2$�v�Hb;ZJ�G)��q��|��}�����5��E�`��u�
H��h��V��
���Y?�Vo9�������k�5X(8T��M�.���}������v�_-��j�
�����K�f��S�
w�iG���}w{3�6�=m�lH�[.1>�c�|�����(��
y�*���4
k�v������v�
�=�ckMR�/Ur��fSc��N'T,
[$����%Q*(�E^�����
���^��O�i�����RG�,��U��hDE����)�Qj�R���|�����
p����26������8H�K����vR���yV@��@�$LEn3�+R�Qei��� G�A�Fu�%
=*WK?W��@p���: Y�LyI
�d��\�z=M�E��|�I��3O=)U��v!���>�|��2� $� �����d��
^�G�w��w�U)���T��
���6ezv� ��L�Dy�v�+
����D��d��^����6F���M�9HLKu�l�t�?����,*TR]�w����)���l��
��@2s�/v�\�?��(�)a��o<�[�.^�
.�X^�k
�
R�����;KSx�.%�s�BN�T�#��{���`
�O���jB��"����������6�
��9�sT �����Q>RU�[ppQ!�x��e
�#>5u����Y��LB�=��Q�Ms����vvt8m�'M������Gk��2�o�?��V�/�UJ8���2����x�DwP(5��LHL��7:b&�����h��]�f p\"�PE�R��
<
k�P5���Q�;W�v)�_����tG R%�f9���q��K�[u �M�\��f�;<X
����z���u�^ ^k�5�'��M-�8
��Z�P5
��8����Mo�I�qI�vY`�v����
G!�0�(�ve�,y�<z��$A�k���X���������L}�g%I�M�.��� 4-(Q����#�P!�c�qE�Id2e��U27/CymI�Xu�����i}oMEt'��i.e3��{� G�)�o��,�v�G�l�����P���-���0�����gB���K�)|��
�%@]���k
M���
�J:
�z��f��<�������Eru���=�P���J,
4B��������zo��)��P�h�jnR���
x�5��e�s�I�.�Z�hX4�u�)�v
�'�8����Y���e������Qxqi7ENm�w/��H�����r�P����m��� r���'�f�rt(�v�/�9�o�
y}�Q\k���
zO��,$h`�CA���S���wQ�z�tpSZ[8"K��5�|-�9n��P���$v�d/�9+���p0a��������&�1:��;R�)�h����p��w
�ez%���Xk>��
9��-��l��T9��]�����������"i��\]Hp�x�����GQ~SU�%iC/��{���< `.'&�g*l�2�K�V��'�Ve.E
5:~�����)�K������v�Z����
E�P7�)��y�v�^6������>c���%����x�������d�%{�]0������l��\����g���c�L�_!
���C�2^_�2�
��������'�I���.��h�G�sG2�%�%p_�u��50��.Lw4Y_���Rg��6
�����xv�)�]����
�J�`I2$r���qIh��S����U���`��9���]@Wt �Hr/�;�=���c�^!�L�`� T��`�q_��/P �+G�4U��
;��'0
[��CxU#�HYye��
� �!�������%Inh����
�*���F����-���<��T������4w5i�`-*�
�mS�� n�?+�����qK�9*|�Ic�n�nB�){>����%�Ez��)�~���W��.a�|�N�`�6v^�����1����>��{������
f���1h��|�,��=���gUy��H`���r���\-��Vb���
Tt//����{\uy��-���
A�V�~�<��;6D��
=�^��V��8I��65�H��U
2�$�mE���(����W ���hx@���>�#)
�7w�$�^z@��0�����n��
c��)eX�hF���;�
��8��
���
qL
�M���L]u�@���|����h.JQ�_>
���:��X��p�W�'���Vk�>��8);�~6�YMd����e���@�������j���y��?w\^%��=�n�N{��\���d;+*�������Y���Ze���)���j�a��{@��7����]�t@�
}6�������!����)�d��>�����������!B���
����4�q��w�F��qYu.�D;^��z��7������3��Ht�s��+�*
i �`K!y��d�rR���\���iJ�yQ
�Q]#�>PZ&T<�r)bq�#�^���*Z��2����;� _����
,Q[�!r���:�F�o��=n�U;� ����YK���*'U��e��
p�sN������������$;�5����w�NG����o���VqP
��v��TH'
m�
G��%]���
\�T�PZ+���yINx�4�{�/�����+~��{�B����H��t&�5��T�n�<��4B� {���.b�������
L"VE�B�
�p��F1;X��� q+g������`�#��G&(�����o��D����s�@N�`���c�vS=��>`��G$����R���
��JY�����njY��5�qi{���b�@��`6����pE+�*{���-�bq���R�1
�����E0����02 ��^�Bit����n\���;���������ME"���"f��������
�����)N���f��#���P��UeWX�F�R�Ru\� �2�>Eh������v8
Z�}�����
jJ��31p��I[
l�S���
Pt��
B/[%9����*��c��eZ�V
��c���:�Y�DU�Z���}�?�t�H�oP��k]��T�����H���sW7�#P��q��W�-N���I���;L�m�Z�����d7i��V�J>#i����#��\����7Tv�{�&
7_����r������QG�@ �>N��
��C��C�v{�nx�Ok��91H�v��]�1�~��*�
������2u�����|��v��!��7��zi�:�B:�8�z[Z�������'D�
��y�*f��uM6:c�.!�����$ ��'�o�L��3�
��wWC �����2i5|��AN�
�.�> �(F���Bg�J/�
Z���i�S�?�0�����J���=Q�������S'��Xvr�u����*7�:E�"��I���cs~���O�Ix��i�mjf
`��$
@�'
��P_�" ��F���!����%��f�6 ���(16]^����j�LF�Z3�js~Eu������w��i��X
*��������h(>TU
~(������r�
X��o�hLQ�>�j5s9N���H}O��U�}~cO�
@�� �(!�����B�Q��m
�3A����u�m
��I�� �x�GM��x�:����e���,)
���u4u$5$lI��$�x.�6���������p=X$�d�1��o�
���=�N�����������&[��OD6|h�:Qm�q���9�nlVK���LR�rus�e�v�����IN����p��fP>���
!�����w��0�e���H�3��F
��:�J���%� ��zh����s�����Z)����w#�j2�,���Ci*��Tg���S3<�H5�;E3f���;���8}��$gZ��w�"$��J�$��[
e`
P�IL~ @�u�����tu�GM
����}|I��g2����1�~zU}�hr����e�����H�U���}��f�h���/��\L���Q����J���u���s�(�8��F���t?S
�(�YO)�
\�|U@�=����z;�������,9�m�i��:%V�cT���
�*��XP��/� �i�Z��dE�
)��!Ok��iw��v5f)9;���'��� E|u���Va_Y?�L�������Z�cV��5V�Z#Z����
�����wws�+8U:��J�v���lf�U�5"0Y���->�@��N��$���w�`�9��w�����/�
/�����6�Y� �)T�^�%Wo�:u���vt�?kO��F�a���2m
Q�+@�����{s�C
OE��%-�U������)6O��%�U�6k�0�.6x�/Q j���:��D[YNQ�)=�IuM�o�A���r�n���t�C0�TrP��r���&q�2��j\�;���"���D��loE
�K�%��{S��qQ���K
��JM
z5O5#}����g�V�>�B��3��Z�����*��)�?y��f���.����AH�Y���(91OU����e��O���yJ>o.����s #+�ec�P���:�4��"Xfr���CM��J����j�.��s,�<��M��cyt�5y���IQp^���`��*��,�����
����hOIke���������@�ea��&X��HB ��A��wM��t(^�X������_��`�e��p��1P�v)�/������;��
�b�V�.�=��=kx
[�
��T
'3(�
u:���U��2�-��#�@=G��hQU �;I�Y��5������z9B!Y8�
*��l��EY�Bz@�+����O`�g�,���r�t������77������
���t������;n,���=��t��'W-�$F��-\41��\]*�������ryB��~}Jy���b����.OP�q��6�
d'H�Nt����*!�x��y
x��!2
r_P����*��O���Pd� m�Pl^xu���x
_X2�/��5�Ot�������2����
���ZEZ��
�f���$}��[1��OW��,�cn��
������T�qy�PC��[w��I�Q�Q���.n�s���*��4���[�e5���;K�91K
VTZ%���j�*"
���\��
�j��y�!rt��s�.�O ����r�P�q��[�L����
{���\�u6��������tMi����#��S�iN���{o��)yM�&�����(������0�)�:���~:o�� �����x!�T�hu����P���T�Jw��[�KJ�c��}`����W�Sr�����!.�#��GRT���)��oJr��K3p���/@�
��l��GW�N�D��N�KB (j�Qsdb�
��N ��
��V����m2u��
��t�(]X�6{|
�L�C�n���M���t��T�����p���y�`����d��S��������d�����u��I����=]���^N+?�J�����^ ';[!E
��
=�
~6������O[�������n��Q6'����1
�W� �[����l�:����!xk���dj5�}`����
�j�k�(.��#��#0��L���LpoF.��1�r0�K��s��
���t��z3)3��PC>��{+�T�
�������u���BS�����
��1]�Uq
��9���\v;�
-�J�����c��E����:�d�{.��U%NjR&�S���YS�Y�=���B!n�@��l
LH��U�a����%����4+�%����w�"wu-�
�����FkLI�t� ����]J��z���Ux4�x�
U�����\�t�/]d��R mW����p:�K�8�6*7@>/P�`T�)�{I;��P]��'���"��;����{��h�T%]�
^9o�7y�j�w?�
���S%9��K��c����
$��z��)>7y/�#SI�O��E@.�����
`�K-j&9G��
�[�9�*��
S1>8�\z�P����������J�Q���p����?��g�
c��-���� 9^k�*2��\�(�����vuE��6oD-^��S���3,��\�������>:��Z������4�
"W?|OE�`
����;����/�����k��8�T;x�#�Q��`���*��%��q���2p��i��'���,�P�s�K3�@3*:�@5��n��/��uK;V����pb�����$s�T������YS� �����)v<����W�:���������n3�
���L?����@I�/���'w���P���C����'&�Dq���h@����R��Kz���������_}��i�KT����)|2������d.g����Z��BU���J�9)�D���O��
���T��GT�B��<�����z��x6'$m�*���qz�6��I�](�:�df ��U������:�<�QJl�k3e�t��#���c��yu���u;x�~a-.|���8N8l����Ri��������TT2�L~����/�G��!�\�1^����=�C������]��i���z8U�
P
�[�`���P�c��V}�EwWf�P������/ r
8�Os�;�=1�2��X�--�T�j��@���J��V���H��
�����+���
����G�)�}�fV�����m��)
/���@*(_�
@������8������*�
H4�RV>��0C��j�������I�m���!D
�,������Ue���J��K��~k��2d�X?��.��
b
U!��t9���M>�V���A��u:�� �s
����7yO&Ev�#��(��j2^���!as=���_W��ZuS{����`��~�&�?�YkN���tZ������Cv�G�����80���O��� A��W��nV4m���yP�i�\
�Z�/��?�����9<���5.G�T)\}3�5k��/��f��U�
��XJ��wj���o�r@m�
R�z�B�?�.���mUt�������h'��r��r�l��l�s���5��� ;�z;j��&��y�J��f�M����<����~�/�D�<d�[M�>��>!E
�T(�~nu�����|����E�-���l���5�(*`v)�~�*s�\�ba��5��f���W����
7�)��g��)�
���x�G��*I
$6F�������T|.qh ������r:� E��A"�P�{���
�8���J{�����t�V�?��,��p�[W�C�����F�=+�v3��D�M���n�&��~i��3�'��O R�5%�'��`M��+�M}v�B}L�k��L�:^�B��, ���)���������! �
�e@���A�f].���C���?��Y���A_��o�}t���l���������[<*�c�����?����_�
$?�w ������O����o�����'�_~����O�������N]�?������'?���������/��7?��
?��O���������w������O���?��[��/��@|�����/~��?�+������R�����|��|�������w��?�����?����_��w9�s~�����O��������������?�����������?��?�����(����� �����|�?�����
������ ���_�������g� ����+~���w�����w������]N���������N�������o��������?������ ������[~����w|�������4��o�<�����?���������� ��������/����� ������o�������~��������_���^���������o���w?�>��}$~��}���������������������������
��c������w����������_������s������ ���������������|��~���� ��v?����{~��<��o���� ���x����?���������<�����;?������'��C������}���b?���#h����M��%r-d���_�=?�b��� Y�(��?���}����������~���C���J��2�/�
��O�� ���|��w1� �?���sE�����/?�'�?��o�������
�������� )�� ���~�����o>�[N k�?�G������/�����\wR�)�u�(J��Ks��?���x�r�����Q'��98?S� �k���
�}K�)�X��{E��>��EMW� �����ge���YG�@9&�S@�H���}�I� n���*6���������%�
8�SS��,����^nM����3H@�T ��q��-��#��
E��t����h�},��%�[s���]�~���~- ������T�u�z+��|V$@l��
��.YY��J��r-��J
��}�� ���W������Rqfh��g�b�[Kl��%�
E5��R�s������� ��V�;>n �y����8V��=�w�Dx�
���?,��a�j�.�A�C������"�����]G�����]��v��k�.�����I����e���
%�������{��8���>���HoK�|�I���=�������4��XR��~oe�
];�ee����z��0yh���}
5�n����g�
��
�_=o��:-��E��#��=V��~�����2�*f��M����]o���;V����r��|�����R���Nq�#���#0S�9�bKOvb�����*��� �� ��_��[L_�|+��<�#)kX��#��H��|�:mSIv�jyT6�]������9D�yR[����@P:VG�
�os+b� �T������+���v�p�������������_��_��e
�z�}H�-���W9���P���3�nv�e]��1��3��0]q���$K�@rD/W��RK�F9}� W^
��u���E���u.�7��6�[��n^�����y�m�7������\/���c}4���U��u��{�Z�*��y����x��r� �����v��i�nw�P����P�e�yM+��~
el
fw�'�OO�������W��C��MB�Qxy��H���m����������#�Q�;}sr����s�����J���/��� 9��Y�: r
���b�I/t>�J����a���
jVr&� Y&O[ir�z�
�G����BRM��� gDQ(�������T�����
t8�x��+�������u�v�trM��?>��[�u?u+���_�3�
���,gO^/.rE�J�����6m�q������S������_�<��|���G��<~���/o��Z/O Q�agG2����������K��e��=b����l��1�A���
1���78�(�"���[��?��)���yUJ"Q�[��h/������v�;wg;�W�q}$��;�T=9w�@���u�\:bv�����1���Dh��������w�M"���pi!���s��r�R��o�n?���AIC� �[Wsj��*�!{�^��J�����������l��
�&��Tx�i(�5�{o�%iBj���x}}��1�
��tq�Ar�IH�U^_��3H�]O ���<C�P:���<q��L�m���"���!��[��l.%"�;p�p"|��2����i��Sw,.�t�����Bux��������������kK[�?��e��W��� ������#oF���7H�(�U/ ���
fu���NP�[tK���K�}����Fvw��TO]b..?\�E'����}M��Vc��9���$.���1�����|m(��c�Wj���b���
U�j��������$Q�����T�P��E;���.���-e=b^���s��8����Dam�#(�ke���"E�-��R
O�I]�/���cM�A�{��U�C�j�
ZZv�����N� ����Mp�������)�M��������
�T����9{<�����~,�=�C������/w�:�6R�T[�*����7�Gp� �|
7pJ�D��Z��,���������2 S��p?n
�n�����;�)��[l_�bPI����/8
@~��;j�_���V��4�f��U�
?^O��*a�7�]4�t5�����G�%G�*�4��W^j���^����~_�$��N��p-F����ggS���o����
����
���� � ����T���KOJ
�>t�I�)U�qW��X�\�e��^%��w��*�~��-j�{TL�
s�����4VO�y�����B�$l��nw;H� ���N[�' �F���Y�z/����"_�I�/����[�\���g����U��?}�|�M�����N����������
m�/�� ���EU��1JP�t��`��$�V6�M�[���)�����b�gL���v�P(@(����}
�d�
_m
�)�+5�8��$'ew)!����}���]��n�}���������2��xK���Tc�!�@����d������:*��l����*�H�`��L4y��1^��
"��8ko$�k���
��4=
c�&�~D-"B�'
�6�u�#85^7���������R��������
����c D�x��tr������H������
�Q�r?�0/�1����,�+�<,�_3�7F|���U�u�R9S@�Y�Mz�#?�Y\�
^�3���pgdWy���Q�q8�fZ�6��N@f�z�9��R�����v���v�F��
Q�$��dJ�1���w�����{i��x �@p��
TR;���l�2�XF���J,�GM����
�"a�
A
�<����I�_nMpW�����JlWU@��tx��}�#�}�)M�������*�� ���Ca���k}
w��Z ��:r ��q��t+�@p^/7$��@�E����R��V*)��d3"�)m;���b
)#�/�J�6�|��WW��,
� �����_�����z�\Rf��^y��1�;���be��]z�p�5����$�����_I9.>�z2��|vWQq;0
�:�����.?je��3o
��
���!9N�2���'p��N�]v����B��[��������.�H��>��u\�y_Ib}��\��i1h��-���Gq����S��~�6�fg�#�[:���� ��*�u�U�F\Z}��A6gV���8}?��FY���9-�*���]m�Pv+Yt���w�Jm(�Su�c��1��o��]� �(X�X8��IF�:���~��|�����v�}[���������<�/���
���?DX���w�Z_r%�Q���0����fY��Ak)�.9Y���Cg����i����r�81@��m�'t�Y�OZ}�B��j_�3U����
Y�%d�����v
�+�+C�:�Gg+��K�
�����$�cW
^����?Z��������rw=��U���G����
ds�����K���c�z|x�U���ch�����k���b�!L��|���&��A?OKq�L�H�X���������x����J.l>�����OCj�������C6��6�����d��D�/���
<�!?������7�Q�R�3�>%5�T �#*����R��
�*
�i�Y'�����=��{�k$k����B��p�������Pi���f��FW7��#����Q*�Sy�!S�W�y���c'�-=$�����l�)�>��N���J�DLBg?��2��
����0��d%^rW4]a���)5�Q�t�jo�A}�U^Q�e��W�\4�
X�����
�NJ��c�F����#(�=Uy�����/�e��b��������e��8��E���|�K�Ih-e��Qk.�����M�p��)u�A��v���}�����_8-_[x�
}l��"\�l�MB
����P��/����D
�r:�|.�����+j����,�.y�\~7k.+�#@I�I*�V)��&�cK:�3j9��Z*�d ~$�
T���[I����}L�R��*&O��
G��3q��J�����uq�t����l!L?�p�4��U��0�A��(5
L_b�]op��^�-h�8-�J�]v�H����#���V�������#=/�{��5��u\���]�j����
���r������W��`�[�������:|Y�� ������Z%��E�1
�����U)B�5��v��W�=����3���Zo�!����w��
�W(+��H����,O���:���o�%���:��j- .��v��9
2D_��&��8
M��q����N�����
�����_��%rGk_�'��B�#^$B-w��y?6!d�Ap�����������c��n���F��F��@��Y#�f�F��;��i^c������ vpJ���2n���S�J�[�<H/v�&YB���J]��f�j_�!�Z>-�*����M�j��������M���M/K��
��=�
�u���z�?H�7�����:U��8�-��G�gt�C ��v�)���I��R
M��?�3��!�d�v�z�q�#���������Ue!�:�IA]m�u���r6woks>�&P�Zg�P���*��L�#�}k<&���Sf��*���"��R�����g�lV0��G���
J��)�x��(��
��+Q�C�����!* �S�-t�Z�^5 ���|����L��4��{^�����~��������3���.�I^�}�����J�5I�O�J����,e���������iG�l��1����]
+�wX�S��������s�X��M�� ��[Z����y���k&����b�v������P�r�����N��\��.���1A� �WB�{(a�kK����W #�Nz�����s����&M�B�����e��.��]�L��
����Xgq�����&�-U�N��i�c�������-1������|�|�MYB����4��������SH n�E�j�V�}4����st�![�t$��)��� �������� ��WM��>��. I������q�
��q0_�������R7!J�R�q����aC��� @����f;
n�<��Na �f���S]iwA��{N]��b�"|��O����)E����wZ`8��A&T������^7���3���s-2�}L����0R'I
�gTa���L�v.��z> �{�������Z)�'5X�U��&8N���$]��R���u���~���zV��t��#
��P�b�����w�d��j�+���&=����e
�p��/�e}s�z~�-���.���W��{��z��Y��]���5���4�QuF��[v���%PV>-Z�8G&j��\=��Rx��0��
�:J�J�
ku�
��
���:0����h?<QNv��>���U��6��M��2�x!I]y=vF���"���L4p��0:>O758
�^�]���}*�}�c�.��.����:rk��x�Rsb�
)�C������[��)��t�����v��
����
[��"������ms���e��`���^�<1�
��Y����Vc����Q8B�N~�����,*ij*^�z �������JJ��p�������:���V�SO�x�:� �]Kn���c NA�� ���\W��$X����)I�U��=��4�_�$��� ���������:Y(������YQW��:o�Q���7���(��qMw���\�)�8�
��G��E��I�
� �u;�Si<H�xgS
�Fb+y(|���N�9� ��}�x.A�60��\�<u�������t
�� 2�
P.�a
�q�G�
yZ���B��I��V�l�����V�J!�����9I����4mn�<z�:�,�g��zp�a�]G^e<�������%�G��D
T�
wI�
x+M� ��&%��
oF&���if��o��
�����y+D���6�A2��e�x#���~X�z����^��[Y���rV[smb�^U���(��8y��n�Q��q���R������L��>�K���22���%"� �f#���
IAY Q
�e
�������N�XU��=kN�k�|���I���e:�r�F������t�+k���|�8�zW�#~2H��N�x�H���9�,6��R���`�w;n&��6X���}�5aw�_1���������j]�A�T��C��P�o�JN��7���M�I��D��������!��E�zx�d�P/>z��y���8�������V�����#cdP�\�|��s�d#90d{��M�2|����m����s��%�i�Y��������m
����C�@Jr4����J��~���e).�ir����F�#a���,*(���dKF=�t�\_3���
�7�>=��:�wp�:��Y���B��>��q�i�_e�!�B��M3N�����
����+&����7�1��3
�!���z��A��v��G�
��K�`+��[� Q�T�=
�sU����"_H�����S�������n(�
�0L���l���0(\F�S
�\����*��~+��B,y �*
F���������G��Z� ���n)�����Z�.�
]:���J��
���y��{61���
x���G���������Fp��~Q���$�:9��t=6�x����
�$����%g�&id�UE>��2����Q��"Y}�-���d�_1��
3�U�6) �p
)��f��U���%���1E�
���>��K�Vu��W�"��r��.oQMX!�-JJ�p
@� Y���w�^V�Q%�K�Q��=`�����9�������
��X2����=�O|���f��Z�,�e�-��BLO3[h�����S\iOC8U:$R�
N$�\����l u�wN����+g��=�o@�<�|K��
tM4p4������Z���Y s�z]��� G�=6�*�+����x��:�
���Vp$��������j������f��J�N>�qgP*�*J�9g
���`��T����I{ �Tt�<��n
v������.N�HHn�~�
2�n��pBM5������$�njB8�����r�A�����[�U��
A��d���65�I_N�\U�����D�H�d�������}v�0H����u�
7��`�����yt��� K�5���
md���
i�xf��(VWA�V
�m�����������@�_�K��R49�i�EG�0r
%��������X�/���V,�����G��I|��������
*�|5��
��Aw����@y%���2���b
n+����p���ky�������
.���D4��p��:����>��*�,%�}!�8'��\����#�h�L����Vi'�r*�����������#�
���F��v
R�B�_(��
��*�Q����X���$%��'6��C��/��?������I�"�e�Mrs�=t�����Y�-/Bo���?�]�W��u~���=��dg���8o�H�E=~��_{
�
;�L{�.O����w��M�
W>��
�TK����Swk��� 3�@^�kg���:��g)Z���
�����/<M���[�T�%���_��(�
l;x�
M)�d^i�K�>�>~i� �H�M��p�/+ Ao��SrQi�[[��L���m�d����&=���lU ��t�q_\e73��Y�b�:�sA���$�O��.{P���,�� �� 5�Q�T� WV��rm�O+�j8���U_���[�U�'<N%##%��43�����������������3^j�>���&�J�^�YjN��^Zrh�:��,�%���������|�������4�W��tw����r�j�)�O�j�tO'�q/��r����t������3L
>'������
[��m��R�n*pB
��cO^��
}�6�5]4[����8tJ���PaP
��p�������
����r��=$��k�����d��(�/��Q��uQ�G��Qk���V26-��p��`{E�v�CR����k<<z"�jbT���Wo�t+j�/��Z�K�����r�D��`�$>����5~���SA2GB�ir�(��]H:�V�D����)�(�)H�-+�9��/��H:����q[4Ew������A�C�����~m&����S-
��;��e��n����z�#�Qe�uF���"����ih������l��+���T7N���w�=
zJ��J�~���[
��������r�JHV`��� �UH-z�*��RjK�|i
/'�!.WuF�. @��m��PG
,����b`�
Gm,��D���5${��W�fL<�7��n��"4K6��]�� �1�q���IlC��I�ar��O������|�F���.���L�nrX�V���W���t����W�b��?|_T���Kxr��� �i���-x]z��W�
�0�m>�[5#Z[��#hM�-T
v��N[���I6JgSl�^�+s��=��
�+f�
JX:9�A��c+j������z������_�Id$I�d���J@z�^j�L���{tijRCi.n�~�����E�t�
]��v�����Y;��v�fH+UG��{��>���>&�FRmK�K�g���gAu�����jT/Z<�e��YM����oU���D��
�����5�9���@
V��� �{������ m���*_������c������X�
��
�����I{�hr!����-
����M�
"!�����A�,���
�p��w��������+W����1}��MP\��8����f����������QK���q���E�N(��\��>]U�pjh�����B��!��z�u�����M� WQ�$00V*%4��S<;��H�X���{%.'��������Be�GHwZ�����E�*>�82*�I'[�7�["�.Y���:/���;97$�^vC���v�U��������P�hJf+� U�@~2�{i�3T,�h�:�V{I=������Wgb��Y�H�
�L�5�")t-
��V���G��|��Z}L�����m.<��7n)=�$+2�=�KV}��#���~�������-���J��(��a�j�i��a�����
��L�Mj�J���_V�_�<�d�D�.p���
E��
N�
���B��T*�gNH����N�i��(,S:Q���TQ�dH����Q�����4U��/�]��<�H����x<S!c�v���eQ�
oW�������FDs������3�����s����x}%��3�
������:w�c����Ds
��p���Q���dt�9���E8�.pc��
�=kdLfr���������I>}����`�����W��)��}���A:�8�5���v��(^���I�"�������Z��
Q:��=�p�� V��|9,�B��&s`���R�fn�/�:;������e�RC�<��N��I�����1�V��2�M��Vt�:N�
e�_��F��e�"��t(!J�E)Y�6��0��^�����|�r�4���jr�H������*��n�Q9tA��
�
�
��w*��y�r~I�*\��(vzwU��_�
�M�
���AkhNl�����s4�*��_��Z�/�v��]�[K9� 2�_S6�������H%q�K�2 ����n��F�_<,��gr���6�.[��U4I�=����4�A
���'E�Z�����uZ���Zg(7�����n
�/�����%�oH�P�*O�!:�� �{
��/�h�j��\qSMVJ�G ��A.��N��R�+ �:���+�W �����\y96�v���^�$0�����y�f��_/�Z�
H^nR��C���6W��]ut���v�\Th���K���YI��9��3wVT�xi�#�sq �>g��I�Q�f�[�D��t������U�C=����PN�U��9�
��
��C�*o7c�J����59�;4�$_������n���T
����L��7�'�����4�
�D��C�O����^v-A�G���4��I@��D��/�%
��'~�����UmHs�U���+S����?8 ���p@`����_��)�(�������j�;��Z3�'���X/[.6l�e�lu}�o�j(�q�u�Rt"x\��
�Ic6
�2��`]��_|]zS�����]��v%((���I�=^����q��/!2��W�+k$���">�|. ��)��������4�<� CS�$M���o�%m��������[.��6�K]�p%���6�����7����0��O�KC���1PT�ci�^�[�sH��F�
$<@���td�(��q
j�� ����R_����
xpf�*���
��~��@`_�r����`��G>F?�
f j%��m���[
�?,
7�W�tQ������m�x�����t�������W�_��n����%e]i��]���F�����\�F�gX
���#����e�������5@�z2��?�K�%+�,w�8�=h���.��F��>����a�\�����)�%~��p UGu-���������q��X�$�s3@�*J��^��-�2�r����]w��8"5/�3%�����[�W�l���
��T���GC�f+wJ���gW��t
+7B'V�����lp��i�x��H�|��uPj:%o}����Q(:e�}>R��[�`��p��n�
zG�']_V�5�;�=��O�Sn}��s��`-U> �i���C����r1�����s%4�p3uN5�����1B�4Q
��1[��a��l
�Mp~�9 H�yW����Q &�&�4������Td��K6���6J��fdWW��
�#�>�"u��2����8MXl���������#,��d��
8�YfkGv~sKg�
v��
�o���voz>�{�E+:��~�
��q��r�D�W��u�q/�<� ��E����]�:=d�L�OM��R�13�4 �q��&P
��M����$s���U����B��/���UV���+Wz�lT0^:��a���nK����_q�
�us
H��u
�����V��k&��v�e�m���������5��lO������������('A-0�u:�.}
�y<q]�T��"*z����L�n�L��G��:U�-T|�����jP��T�
?0��z�(������Y�kd���`�x�o[�Hu�� �-��'�m����� n����������%�_<,�!.��L�DP~�>k���:�)���������l��>������z�+0r5����~A$h3�g�K; �7�]���
j��/ ������~��0�����;M�g��K��cP%}=M��l�v��������"��
"��$5�{���(���P�S8s
^G��c� �d�B�.���F�E�p���^$b�1�)J *�}ley��&���K���������I�g@�X����F�V�
hW�P.�����*ce9��������>���;I��'�.�����x��
��S���8Q�[Y�.I�|1tb�e�{���nj���� id���
�9*�����q�#��� ���2����-6�N2���s�p������S��r�&�Cb�]xU"��JJ�NGG_V��:�� ������SR�f����u+u�n�%@�
gK�h�&
��{Soe��Qz���n��Y��� ��
������]�$���n�{�>��<�]�S0
e����J$��RK�a�
a>�z)T���s��dn����c7^�RM����f>!��}YG��m`�D�0�S}p^(������J��uM�IB�[�+�'i�x�d!��C�9�i�
�k���$��Y���"Ha~*��]���w�q����R�<_BKx���"�H���;��
�Q�~�����e�_����`���
�W
�*
#�P�2[K�'P�
���)�t���wq ������^:M�tdZlZ���Ndr��<)����R�N�)/-!�aP���_�w(�_�E�<&eK��t{�T�s9\ �%����Q ;��o2
����3���p.�Jo����n�����rw��;�m�g�-������S��%�D~�OH�D��r*�*[qs�l�U������������ '�
��K��D��bp��������;
��p�Df�.�`G�������y
C>`b�|�F
��+�Q���.���,1��H�GF2������0��9�W�2������m��*�W�`��s�]/�8c!�����<}
��[O��8/�yC�1S���dz~z�
U]s�n���?����X����r������k�"U���� 7��VT`�s��3_�u6���A�0��7�j���C�y��B�� {�G9-:�&.r7�L��5�����{}�:P
X�����[@
�cA�����]��B��[8V�3��>'�.(�b_Rg���i���a����1^�xZ���?@�0O��@�Q���u�b�]��=���<�
�S��J���#7��i����9����O���zu����r
����������8
�R��������H��V�-6�<����R���������hlY\_�l��,d�S���O}���G���k�X�~�;q���K{����ut��=��z��3���)!`�r��4�Hp�����Fm{���6 s�E��x���d�i��1�ui��B���Am�i�����T�9^�hi�����Z��{i���O�\y�.AY�3uT��{&�����J�L��9,bN��Z-y�_�^Y���a�3AcjLI
A[�7��H�|BN����J���/-����
a��[/q�I�_��l�_��B��8a����^]WK��/�H�}��(��5�[K-ln����S��$JJu���K%�s���x7��F��s]2g��!�Z�wA_��
���������
��J�J�����J��
�|?S;c�j�����
�rB�p������T������(N~��) � >y�~nY��@��`W���Kl�
�S-gb��)��������c.�2W��#!��S��J=���f����� 2�:dY(�Ni2�����
��K��n�����
Q
s�W�{NoZ%|�W������Tu0�&�2hS�u�n�:�"��y��z�_YD�L �� ��s��G��j�����J\��KgT���=���
�
�XQz?�#��"����q���P%
)4���s����vp�|8����QsC��E��!�Q���Qo2������/t����J�
���S���Jy�0��{�I� �\�� ��W}�����}&
�F����
����>t�
��v���[�I}�z
�����?�xn����2�N��>�������u�4yr�4��q
�;���Ol�Q�]N
����J";N|_mT
�� X�
�MC������<O}��jS���)
�q�B<��<����h������[
�j����{�_)���?��G
�g�u�s�#����7�#�
��T����D
�3���%Y���VD�Q����m�K�*��������D�
���
e�������
5��v14��Lxm��Kv
��>{'�����9��p
�PF�p�5��dp�
5`&�/b�J���N}�_�
��Ws�i����[��ag�5hI�����������#|-�g������m�����e�'�
e��+
�C���3 )vU�}��lr���;�Vg����e�
QlU�����]�EA�Sw����FF��7P������#���#��hrI�C�q��|��:��J�rF����W�[���/&��.H|Rh��J���a)��(�u��Q���$�D�����
/%�C��_J�����u���Kf#�j�v�x����G�����yx7�
�wi�G^�gg�FN pT�Y���x�&l$���a��������Y@T~���dWrd��$@�
�
M���Gus2?�_=1WQ���<�K������M!-�|�j�v�@,��XJ������@|h�����9P��&p��.6���U��T�������q�J5k�+u�
�o|�NQ<�����*6p�)�4&SF��@
���R��V*T���^���Zz)1�8��j���r�A$\����~�ezv��lg��{E��\�5�<EMv��+�xu�x~q��O��
��\�*�Q��
�9V
����7���J
�`��<��
�e���L���N����u���&��K��b��db�.}����HN�'��S�[���@?)�0(�u�u�Ir
��`D���r�x��&���� ��y~h�3�[��A��{>�W�e��]�(��/��Q�w�mG\�j�U�*,�<w��Y/��A�W���������o������Z�
b ^/�]�a�@
S\@�7�\Ya� ���#:z��C�����%���VW�
����J���8N�hC� t?h%��RI���&���Q/���^��e����g
���~I���/}��rI����_KL�g2����:�)y��W����r��!���E�_"��!���������B���Z�?U����_�&��_�{�&������u�����~�,���B���b;O�]���������j�o�5�'��R�v3&�c<� �^�@r�W�R�:�6��
C���>��^����$7w!PwW��N��N���
Nb�
��d-mF�d�u�s��+[���<
e�f�� ~p>s�z-���,Y�Q
��F
[R9�����}�6��a-�%���sXPNz;i��.sN0b�O���m3N�;�
���b����mB�g�"2��Yt��
s��� :��!`6x���C�.�,���%�r���d�5�2���d�ti�i&H����i����Q�U�x����`F-��Y^0o�j�����2�����[h/
9.X����6B�g����
c�����<.�U�xD�S�6o���Y2j��2"3��a;�K�s�
�rA���
��4����y�m�0 Q��C�[�t1�� 0Y2p���V���}
���
��2� :6���z$���4[f������@���;`�4O96#�v �&qh�R�
D;�1� ��!�1CN�/9QlA����L��C���y3oct�]��n����d�`.P{LO������=�\ k�!�1dD�A*4�~B��
Z;Q��0���V�2�w����������x�����v-jB�<�d#��ki�H����\H�}��+��jF��zAAIch�N�c
�Wz�G
�7����{4������d�9�b��`�l������]����.�H�7%�<�����BRI
k���&m���
v��=q�kt]�w
d��#���}
o]�\n����M�;� �c
�X��4Lv
�2���� ��a y�������;�'� �[��6��2*
<
�
�
B�g=K���H�1X1� F-��*������C@�g��AA�`�!lD�������bPs�!ON�uKEz����d>2�73}�&��w=��h{�FW��#���1���yW���
Q|GX|�����.��8.D:xx�����
H.m�d���$�C���3��D�I�������R�����z��N��=�d9��o�� "- ����
l{X�^r��>�}0
t<L�)8�[�����qm�ci
��6��J���)���?k@o��a_�v;�m��2���.C�a==��I���wx��1
w�q�<��tz��u��i��.�����V��<�P��C��)^�[
Pi;o`Rm���|�o�|�^��$b]���[����D�'1�� ��g�:_�;]�C������=�X������4~@+��gq$�*��������
��[��cL�g��@��j
8���O#�h �������0SLQ���2�0K����
�+
�Adfn��O ���
�
+�L<[�`
��1�7H�Dk
^0s��%f
�]����Pz��
�K
����}�Id�
A�>1I�����
�
2E#+�
�b0$�{t+��O�����%:�w��Fn�l��t��1�/��xD�7�i�v�"�i
�bGS��{�y3��"�3��}$���y=��x=��`<������e@�<
x0�c����.3�5��������hoY1��$~r�%���)��k2AP���}"��5�
��(
B������ �
�am��uj1j�W;�bu@\�Z���m�r�@� �qm
�!����
�vh��u
��`iN����� ����`F�����c�o�Yv�G��*����CO�i�J
g<
�k�L���1'K���z� ��*Y�M
FMV��%l�3��7y'���
�K�%KC���py���0�
_��<���
+�y��$��$�4���3��ONB�"����I� E�P X2���������]��`:�.�8B�`����c_@��e�V�l�mR�q�#z4Ma*�6����$C<2g�7�g���N���t#ahR`E�~;=�d���x�����iE?�6=���
�v
i���!��l&Y������o��5�N:,�y���zW"j���)�q
���0LF�����
N�3��<jQFkH�
mQ��y���;���IF��X�cM�e��
�,8
�
h��b�R��[��d�b
,s��d�3z��@�Q>�L���t���6?��z`�}�
]�
��Lq��{��;�t��@���a��<bPN�7[�[U3�k��������v �i�,#
B��B���3�������3�7Q��S�G�c�:6�_&�ul�-^�������
�^r��M����=���8������i2���t|�o��"���Df
Z�C��)n������"�a��X V�
�C�����A��_��1Zk�e��$�ML)w1:4�5m�&��mg���`IP;���bB
��f:zx`��R��g"�@�`J(�k��Q��2��Qp�^/u��
�S�x��c�Rl>z�@�EGl&�e�=sm^����Xx��
��`��N�@7��W1�#s�����.J2�+��-�4tj�8�F�8ZmF��yY�VL�"�?�@6�CA��u��WPq���]��dt�����\
� K��m���(��!�j�mj�����|�*���,;}����Vs
� d�����
Y�!&�I�`�]`
�B VAGa�����b�&Xy;�XMso3�P��`
��IiwA�0���������T:��z���-�[M��b���7u����
�M�N{M��
I0!o��;�N�
S40t;�'i�9'���
x��A��-�[b6f3����-��x7z����IW��a�_��a��wD��������
��=P�#���{
�5d
� ;
�qZ��aTM��b0;���5���n��#���;F��i��� �3�b�wT������)T�
9� O�+o1h�����,&�f�F��(B���n�n��R5U3W�%����>���O�p�6���l��gc
l���������`�0����c`X��gX~�I]��MP��M�3u�M�s�������?�����]��zz�"3��Zv���T��3�2�Dk���@�e�!�
0�w��3�^"��t�/���T3�+�����4} �Y��A�����
`���!` -&VY�m�����
���C^e�����f�M��}��r�
F������HJ��AjiNeN
{
4��
���JAb!T*���V�M��
��@��E��?���!oh��0�G���cLp���%FJ�b�S�l��
e(Ok�?f�\��h0���L�����{63t�oZ�#���� �'��������3kL
L�g����h�F�6p���'�.�G���P���
�~�
<������+�
�i����?��@��hXe�;��3
0����G^Ts�����s3WSz�0@Ax'��9@�1�|�
v=f$�r��u\S������]�eH�.���}������S. ����i�[�,<��G�$r�C������D4��>�5�
�����vt&��;�0V*����<���x�2s��x���<���P�W�h��@E��D��z�D���
B#��W3]��0�ru����L������BC�w��~�
e�h���D��N
��n��=��`�r���W�MwW�3�_Ce�c��2)�"�����%�*��
1/��6@L3�$]��Tw ��H���llF\f
^�y���%5E �������6��G?1\j���N�xw�\���
�G����)����.T{������p��&����Ig ��a33��y��6E��JY����)MX�F�Cg!�6��Mq�t�/����@e{����v-zw�@���8�1M��-�
����L�����
=f
u�N���sL �1���Iz���;���<E`|N���x���bQ�b���
$����N�(4��e��LDA��@I�n0�T������{�0jjD������(��=:1q6�s��P����-�&��3FM�i���d^�b?2���
]�l����l�o5�;n���2\_sOB�g ):�,�u�IQ�1����[�U��+
o�S���R��5�6�
���
A�uf�
��{:����
��
tD��]0c�.s�A,s��
dLW3��B�8:J�� f���K�P4��,������$�h�=�O���L]�6%��C"n����tL�I���k�N�x��W��
g�T��c"�,�)��Q���1hYo4�!��{�I��NI���]�B1���\��Z��Y�� �D;~����N�H�C;d���Y��c=�_�|u>VP�'�3:
]jo9#���f�9$n_���t?.3^.�~����{� Z���/��p�w���^���b
x5gr>��xZ�t&�/�G5���i�s.5�!��������y�b��'0��;]h/�3�|7'�����;��k4j�����{xtzrT�j?p����G��
��}�uvw��{������������S��[���~9_j����L����j(���\�P�PO������*T�^VU�<�����RE��b
.
,, ���ryD��`2Q_�1�fe�U����UYr@s&�<��Q&T��+p��,�����j>�������K�#�&{�� N�|d� r%�����X4���N�x4�
'��I?@�����8����U���r0KX�%�a5��~w�,`i-��[>4WN8�P�����<psO��/��~������
3��l
�|��~r��B��h�uW�� j����l�����r��=?��+|;=}�f�t�0\����
&�6���Vg&����#��HW���whR������<�\��`��i=P;�,�S
C�RU��}{�e�4�,�CU��������P��M��==��w����xcN�V���I�`��K���l������iY[,
@�C� �
���[�|9���{Wci��&@
��
�G�$������bG�����G����N��
�r[n���9��?UT n��i�Sn_o>��WD��t���������?|��u��H�i�P}M�<
q�����
����e0���
+x
����MS(���
��?�� ����']]X ���D�FM��*������ag��g���|�g
��]s�f���i���7_�!�mM;� �vAk� ����}���A�����- �H)~
H��<�?��B�S��r
��� {���������-�K��Y��)�������sp����`�c�P
�� �y�o���`/�uE��JFf�����
�b^|�*�t�}�g����{y�{��s �
|1n��/���Jn��GO����3�(
���q�c^�6��55���S��d�I���T�{�W��3v.
�]�s����;�������v���5j}����t@[�W���M����X����
�
�d�
���1�eIMAsj�IU�'f�6+(C)��$nUolQ'.��Wmr%�����]�m�����[��4���SivN�
�����rC��[��N���_��\\�+8o��d�k���*a0����}��W��B�.����s*K��a0��Ei��>�p����Rx0S�x�Y/���Z����j
�O�L�vx�xH��)W�/ �^P���8^�r�^��Xe���`���FC���M
�m%��]�x���2���7���r��I��M�$��('���('F������%
#Q)��R>{Kd��LY��u����(C1���
�oV��M����mJ�
D�o�������/�DP
L�`������r��������g�=S��_>9������S���B��gH� ��D-S��[ �xu�����D4���h\&,�/w�V�mt�-���w�c�y�m��������Rk�y�b����K
*����+�z:
(��QjW
$O�u�����%�'n�H��,%��)�)�
BL��Z�}�+��wa��
�����s���j���x�����
�0�G��P���s�d2w��z�/�d� ��f��7jU�����#���
��|s��b��@-i7��]Ul�//�
L�
��L�����9Q����@X��*���k'�:e��n��PcQ���Bd�� ����������o�%���������X:U!9Sm
�i����a���LU,��V�� ?��N
N��2��}�Or� v�����e8s��l��By���4�|
wh�����h@�U�v����eE�O�I��i��PVfs�T���$J�-��j/URY�������*R����+Fz�j����������_�>A]G���� P��������#�<y|xvX_|�~��q�li�$��
Qy4q.�
�PY���P��?�����z����� hE�#kW&����N�7��L{�LI�9�t�q5�U��?TUb;��k�Z}����1f���+����C�Q9?����~��fP���� ���p0�t��0����<zzv�b���������
4\g����{�'���'�6<}u���l����������=$��t%�
���FP���~�v�$�lL�1Vn�w��[IQ�`"/
�q�Zbo�����
{k��p�����������
�S���%C��|R ��� h� wVS'�P�nW����5+5�`C����r�����k���W����G)
�������T��J�Yil��VMv���T�7�j��vS���F��
��SC*�
�Y'+�A�C��t�H��W���f] ����77O�OB>�]�Q��|^�n�
N��G����f����4��V����T
��4
�h9�_u�x�b}q�=��_k�����5t|�������u�~t��(oHf��F}�#���i$��� �[�����*�"s,D4��I��#c
�%�09��A7W�G������YK�����@�C����������XCp ��l��Q���g�b�b�L�
�g�j��j�.�>�#p6'V;0B��`��+c)�LF���\,I�pBYJ��C �%�v"� �=�k�^�
(���/[���->e�+� ����xhH�An�u�"�����\���U�
���e��\�!7��Sn���e���� \���e�g"�\:ad���$�C{�$p�rzb�
�!��j�+r(lrJY;�h]~0VH�@�5U�[oLLz��>}��7�^�B.�������9�
��k��&0,v��RfO�&�
d}�
�?���k�
��<�A��@�M��
�=u6W���u��Lb�������A
��-��0�-�,�L������d�X����I�L�
��
�y����*-�b��_�z|M1���N����S��Y��X��%!��<>:�=}q����OJ�}cq�
��!'�
��
�+M� )LVJp{���:���4�8�������o�ON��z9|����G|����1����m >�IE����[8����j��
��e�%\���W
4�'�W'g ��B�U��~T������1�-YK����������jU��~N�k�����)>&m�o}LJ<���h� 3
W���L��Y,���4 (.��'Lg}hR/nkm
���,�����/�����_?Q�s�
H�Kl��no��vC+����(�A��=<�
e%�.���y�u������Q�9�o�!��U)��B�����XA���'��*"
WRM����s������{BY�6��9��� �s0�N��v��3�:����m~�r��(�U=*p�
9=�)����X
R�1sl'W�QhZE�� �F�����F��X�0��_,u���n�Z������Dr�t���l��"��fpQ�q��?�b�G�jt���� ��?*)$�T�� %��7���"@�oL����x[\�kl<�����xE�cN����Hi9[R��[R�����s������B�|�?�j�
&4���E�>��������73 B�
R���-F��
�H7B�+R���;.�]'�.�%f����z �����o��������Dn�����G'��n�:�O|���XI��?$G���Gzo\)|�9
�g�do���R����+
���%?Gu0�����I��|V �O���sd_�
��\�/|<��k��d��|�|�G�
�vz��!��D�u
��_��G����)+
!��4�F;����Q|t��|��)�
�(3�T������*�U�BX�����g��J��w`��>\��O�5:��C$
��}*vG��w~5�[o�f�R*�{r��c�����C�T��}flP���
���\/�s9�\E,
;�V�G���X�����U�����X6�*���a�u�����G�:ZMD����>���t�d�
_��<�4�3u�*<�����1���d�r��:�(��-��.v
^[��|�e�
KRM�������������F�A��&yT� ����sM�K��Kh����0w�V6C��b���;r
) 2f�mk������qt�m��coKgif0g��A�����W��x.|��u����6�<�S�r�2�
$����]�.���^�LE����T!V������O(G���Y��rAP�����C������O7��
�����e�N��U%��*��`mA�q�`p��r�����j9���b?5�pDG�"��^9�%!`G
�
>�pf�
V��
y����@j������K�1g�"0�e��
�%�A�r�2��I^�������
v�L���X<6*I��
��p�'��e��c�����n�R��'Zl��\���
�<8<zv��x5��������
��ly��x�C���c��\����>�RE�*��������^����!
����/S���)#�������� f5�(H�`�����j�D%x����
-�
.7^-������!��
�cw���^�e�!e����d���4�_s6�����#{����
��Bq=�H����8x2<z:�����t�jz=87��h� ��,�,�����be����
�����%����M��r�!�K�L�f������j�����5��&���i��*�Xa�V�Q�kxi
,��%���1i���YZ!��K_&��s#����
#��
I���mpGv~����H/��s9���A
S���H��C_���^
>}�S���%���@�s�� �m*�x���x��%��~y��)m���!��]u�4���f�?�_�����������NNs�M}w�k:&�7��f�u�2�S�v2�����
����8%�R�pNY4q0���R�
����m�xf�}t��yv=v����������?��j���A��]����ekAt������)�������0
3��;��v�5��E��h�I���|C���r�~���"���������`h��d���8�7�>��6,�Y���+^&3^e�����{�
�b��4TD����zO�����+"�M����H{%��<������v+���gS���AYF�_61�*��"���k������s�l�S��"�#���f8����J����zg�0���;1���tB����}��#�Ym���)H�a)aM>V�
�9�u����^�����{��n�w6H��pa�_�r�dJ�"9���^�m�]V��u<�������[�`-U�)=���<R���`2��)@�
.��
,'~$�J\�3�v!nMp�+WU9(�J���N!^c'�b�����N�J��]��m#�z�P%�N�����&�j���*�[F����f��U4���H���54��*���(.��P�~�0r�\�-^�a����8�b��������
u�j����
��F~��<���������O��7k��
J;�$�t�v����]E���+O��d�
V�������{�C7��������`��a������K��i��w!n�j d�l})h�[X\,!,��T/�Cr�o:�N�Y�[^Mu��m
\D�V5���G)w��on��:m`�����)�O,�.�,,�~ N�@�8+1V
o�@�o��
|xrZ�D���U�Z�Yk5�=�a�X�[�ZU���&���-���������cn�)����0,�T9��R��^e�`L>�����}��})7�Co�������{�VN�F�T�X-Y���u����e:������*%W��.�/o�����������
4V���[_'�����>�q�Eq��R�&��� }����`�J�XvI�F��������a����uig��r<{�������
�T-�^q��
�*���D}��D�=���|���fz�\8�����$��q�8;9��H[5sg�>"t�M�J�[m1��c����'=�d
C<��g����d1]�e�2��\G�kD�c�cNO��M��
�*�����&� ��-���V1o��F���a &���1+�K�1��By�6��G�]���~&��6�U��
��A06
�d�` ����J��]l/W�aV��bB��ME�
���SV���D�^���D�����T�![��2��c����MX(d�ZU��]�
\��#�:#})M���/K0w��?��oTqogx����z��A����8l���Y|���'�@��dc5���^���N+�]���,m
�L�[2�"��3�w��TbQ,n��e�L�
�
�Ts=��mD>�+�������v�D�<�9����kA���B�Y�;OX�?\q���n�J���;OW:_�u�DM����G�sswC�S���bT�����7s������@����r�����U0�ss�
,�%�O$��
d�������\r���+�f���8�}���E�����A�'�O_y����Tr��-F!
�?�%�\���
�n���w)YO0j'?����
�8���0C�������B����u�����[
���8��L�Uu�=q�s
�o�%D��.�
�^C���nbb�%�117ww�c��SN
9`��CP����
��KV�;��r������IZ�V1%�|���s��]T)�5,�j�)�������o�*�g6������Ui%���xp�-���I�dn9���VB.���%��FRP�}�����|>����������$p��b�\)��.a�P��y���g���c���J�V������kJ���e�U��
�_���A]5M��W�&NY�R��
(~�� r:ZM�<�������8�9��8�/�������e��o�o� d��'���G��wm��9M~'U�N4
��C����=���E��5��v3}�����+������0:��~{h��yd���<L�����U�D
��j����\���(�"2�?CL��
��tj
���h��l4�BgZKJ�i�#���,�N
�9 #
����,
���7��DU�({��d%Q
}���_�g
�����XT�s�� �Fo.C��
{�6��T^<{��w��c9����_���&���o���e�����mJa�������u����1��l��
On Sun, Jan 10, 2021 at 11:51 PM Bruce Momjian <bruce@momjian.us> wrote:
On Sun, Jan 10, 2021 at 06:04:12PM +1300, Thomas Munro wrote:
On Sun, Jan 10, 2021 at 3:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Does anyone know why the cfbot applied the patch listed second first
here?http://cfbot.cputube.org/patch_31_2925.log
Specifically, it applied hex..key.diff.gz before hex.diff.gz. I assumed
it would apply attachments in the order they appear in the email.It sorts the filenames (in this case after decompressing step removes
the .gz endings). That works pretty well for the patches that "git
format-patch" spits out, but it's a bit hit and miss with cases like
yours.OK, here they are with numeric prefixes. It was actually tricky to
figure out how to create a squashed format-patch based on another branch.
Thank you for attaching the patches. It passes all cfbot tests, great.
Looking at the patch, it supports three algorithms but only
PG_CIPHER_AES_KWP is used in the core for now:
+/*
+ * Supported symmetric encryption algorithm. These identifiers are passed
+ * to pg_cipher_ctx_create() function, and then actual encryption
+ * implementations need to initialize their context of the given encryption
+ * algorithm.
+ */
+#define PG_CIPHER_AES_GCM 0
+#define PG_CIPHER_AES_KW 1
+#define PG_CIPHER_AES_KWP 2
+#define PG_MAX_CIPHER_ID 3Are we in the process of experimenting which algorithms are better? If
we support one algorithm that is actually used in the core, we would
reduce the tests as well.
FWIW, I've written a PoC patch for buffer encryption to make sure the
kms patch would be workable with other components using the encryption
key managed by kmgr.
Overall it’s good. While the buffer encryption patch is still PoC
quality and there are some problems regarding nonce generation we need
to deal with, it easily can use the relation key managed by the kmgr
to encrypt/decrypt buffers.
Regards,
--
Masahiko Sawada
EnterpriseDB: https://www.enterprisedb.com/
Attachments:
0003-Poc-buffer-encryption.patchapplication/octet-stream; name=0003-Poc-buffer-encryption.patchDownload
From fba051add0f0ec73770db415bba5a1c486d41c27 Mon Sep 17 00:00:00 2001
From: Masahiko Sawada <sawada.mshk@gmail.com>
Date: Mon, 11 Jan 2021 19:37:12 +0900
Subject: [PATCH 3/3] Poc: buffer encryption.
---
contrib/bloom/blinsert.c | 1 +
src/backend/access/hash/hashpage.c | 1 +
src/backend/access/heap/rewriteheap.c | 1 +
src/backend/access/nbtree/nbtree.c | 1 +
src/backend/access/nbtree/nbtsort.c | 1 +
src/backend/access/spgist/spginsert.c | 3 +
src/backend/access/transam/xloginsert.c | 13 +++
src/backend/bootstrap/bootstrap.c | 3 +
src/backend/catalog/storage.c | 2 +-
src/backend/crypto/Makefile | 1 +
src/backend/crypto/bufenc.c | 138 ++++++++++++++++++++++++
src/backend/postmaster/postmaster.c | 2 +
src/backend/storage/buffer/bufmgr.c | 25 ++++-
src/backend/storage/page/bufpage.c | 49 ++++++++-
src/backend/tcop/postgres.c | 2 +
src/common/cipher_openssl.c | 26 +++++
src/include/access/xloginsert.h | 1 +
src/include/common/cipher.h | 3 +-
src/include/crypto/bufenc.h | 27 +++++
src/include/crypto/kmgr.h | 2 +
src/include/storage/bufpage.h | 11 +-
21 files changed, 306 insertions(+), 7 deletions(-)
create mode 100644 src/backend/crypto/bufenc.c
create mode 100644 src/include/crypto/bufenc.h
diff --git a/contrib/bloom/blinsert.c b/contrib/bloom/blinsert.c
index 32b5d62e1f..d474af753c 100644
--- a/contrib/bloom/blinsert.c
+++ b/contrib/bloom/blinsert.c
@@ -177,6 +177,7 @@ blbuildempty(Relation index)
* XLOG_DBASE_CREATE or XLOG_TBLSPC_CREATE record. Therefore, we need
* this even when wal_level=minimal.
*/
+ PageEncryptInplace(metapage, INIT_FORKNUM, BLOOM_METAPAGE_BLKNO);
PageSetChecksumInplace(metapage, BLOOM_METAPAGE_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, BLOOM_METAPAGE_BLKNO,
(char *) metapage, true);
diff --git a/src/backend/access/hash/hashpage.c b/src/backend/access/hash/hashpage.c
index 49a9867787..7ee505c6ba 100644
--- a/src/backend/access/hash/hashpage.c
+++ b/src/backend/access/hash/hashpage.c
@@ -1025,6 +1025,7 @@ _hash_alloc_buckets(Relation rel, BlockNumber firstblock, uint32 nblocks)
true);
RelationOpenSmgr(rel);
+ PageEncryptInplace(page, MAIN_FORKNUM, lastblock);
PageSetChecksumInplace(page, lastblock);
smgrextend(rel->rd_smgr, MAIN_FORKNUM, lastblock, zerobuf.data, false);
diff --git a/src/backend/access/heap/rewriteheap.c b/src/backend/access/heap/rewriteheap.c
index 29ffe40670..d752331706 100644
--- a/src/backend/access/heap/rewriteheap.c
+++ b/src/backend/access/heap/rewriteheap.c
@@ -325,6 +325,7 @@ end_heap_rewrite(RewriteState state)
true);
RelationOpenSmgr(state->rs_new_rel);
+ PageEncryptInplace(state->rs_buffer, MAIN_FORKNUM, state->rs_blockno);
PageSetChecksumInplace(state->rs_buffer, state->rs_blockno);
smgrextend(state->rs_new_rel->rd_smgr, MAIN_FORKNUM, state->rs_blockno,
diff --git a/src/backend/access/nbtree/nbtree.c b/src/backend/access/nbtree/nbtree.c
index ba79a7f3e9..b2969dd07e 100644
--- a/src/backend/access/nbtree/nbtree.c
+++ b/src/backend/access/nbtree/nbtree.c
@@ -175,6 +175,7 @@ btbuildempty(Relation index)
* XLOG_DBASE_CREATE or XLOG_TBLSPC_CREATE record. Therefore, we need
* this even when wal_level=minimal.
*/
+ PageEncryptInplace(metapage, INIT_FORKNUM, BTREE_METAPAGE);
PageSetChecksumInplace(metapage, BTREE_METAPAGE);
smgrwrite(index->rd_smgr, INIT_FORKNUM, BTREE_METAPAGE,
(char *) metapage, true);
diff --git a/src/backend/access/nbtree/nbtsort.c b/src/backend/access/nbtree/nbtsort.c
index c904fc8ef7..04da2d865b 100644
--- a/src/backend/access/nbtree/nbtsort.c
+++ b/src/backend/access/nbtree/nbtsort.c
@@ -665,6 +665,7 @@ _bt_blwritepage(BTWriteState *wstate, Page page, BlockNumber blkno)
true);
}
+ PageEncryptInplace(page, MAIN_FORKNUM, blkno);
PageSetChecksumInplace(page, blkno);
/*
diff --git a/src/backend/access/spgist/spginsert.c b/src/backend/access/spgist/spginsert.c
index 2e1d8a33d1..84187583d2 100644
--- a/src/backend/access/spgist/spginsert.c
+++ b/src/backend/access/spgist/spginsert.c
@@ -168,6 +168,7 @@ spgbuildempty(Relation index)
* of their existing content when the corresponding create records are
* replayed.
*/
+ PageEncryptInplace(page, INIT_FORKNUM, SPGIST_METAPAGE_BLKNO);
PageSetChecksumInplace(page, SPGIST_METAPAGE_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_METAPAGE_BLKNO,
(char *) page, true);
@@ -177,6 +178,7 @@ spgbuildempty(Relation index)
/* Likewise for the root page. */
SpGistInitPage(page, SPGIST_LEAF);
+ PageEncryptInplace(page, INIT_FORKNUM, SPGIST_ROOT_BLKNO);
PageSetChecksumInplace(page, SPGIST_ROOT_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_ROOT_BLKNO,
(char *) page, true);
@@ -186,6 +188,7 @@ spgbuildempty(Relation index)
/* Likewise for the null-tuples root page. */
SpGistInitPage(page, SPGIST_LEAF | SPGIST_NULLS);
+ PageEncryptInplace(page, INIT_FORKNUM, SPGIST_NULL_BLKNO);
PageSetChecksumInplace(page, SPGIST_NULL_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_NULL_BLKNO,
(char *) page, true);
diff --git a/src/backend/access/transam/xloginsert.c b/src/backend/access/transam/xloginsert.c
index 7052dc245e..d7738c8834 100644
--- a/src/backend/access/transam/xloginsert.c
+++ b/src/backend/access/transam/xloginsert.c
@@ -1190,6 +1190,19 @@ log_newpage_range(Relation rel, ForkNumber forkNum,
}
}
+/* Write a no-op dummy xlog */
+XLogRecPtr
+log_noop(void)
+{
+ bool dummy;
+
+ XLogBeginInsert();
+
+ /* register dummy data as the record have to contain data */
+ XLogRegisterData((char *) &dummy, sizeof(bool));
+ return XLogInsert(RM_XLOG_ID, XLOG_NOOP);
+}
+
/*
* Allocate working buffers needed for WAL record construction.
*/
diff --git a/src/backend/bootstrap/bootstrap.c b/src/backend/bootstrap/bootstrap.c
index e2231f1430..9eba3735a5 100644
--- a/src/backend/bootstrap/bootstrap.c
+++ b/src/backend/bootstrap/bootstrap.c
@@ -28,6 +28,7 @@
#include "catalog/pg_collation.h"
#include "catalog/pg_type.h"
#include "common/link-canary.h"
+#include "crypto/bufenc.h"
#include "crypto/kmgr.h"
#include "libpq/pqsignal.h"
#include "miscadmin.h"
@@ -528,6 +529,8 @@ BootstrapModeMain(void)
InitPostgres(NULL, InvalidOid, NULL, InvalidOid, NULL, false);
+ InitializeBufferEncryption();
+
/* Initialize stuff for bootstrap-file processing */
for (i = 0; i < MAXATTR; i++)
{
diff --git a/src/backend/catalog/storage.c b/src/backend/catalog/storage.c
index cba7a9ada0..c876c536a5 100644
--- a/src/backend/catalog/storage.c
+++ b/src/backend/catalog/storage.c
@@ -443,7 +443,7 @@ RelationCopyStorage(SMgrRelation src, SMgrRelation dst,
smgrread(src, forkNum, blkno, buf.data);
- if (!PageIsVerifiedExtended(page, blkno,
+ if (!PageIsVerifiedExtended(page, forkNum, blkno,
PIV_LOG_WARNING | PIV_REPORT_STAT))
ereport(ERROR,
(errcode(ERRCODE_DATA_CORRUPTED),
diff --git a/src/backend/crypto/Makefile b/src/backend/crypto/Makefile
index c27362029d..8985a66875 100644
--- a/src/backend/crypto/Makefile
+++ b/src/backend/crypto/Makefile
@@ -13,6 +13,7 @@ top_builddir = ../../..
include $(top_builddir)/src/Makefile.global
OBJS = \
+ bufenc.o \
kmgr.o
include $(top_srcdir)/src/backend/common.mk
diff --git a/src/backend/crypto/bufenc.c b/src/backend/crypto/bufenc.c
new file mode 100644
index 0000000000..4401303fe9
--- /dev/null
+++ b/src/backend/crypto/bufenc.c
@@ -0,0 +1,138 @@
+/*-------------------------------------------------------------------------
+ *
+ * bufenc.c
+ *
+ * Copyright (c) 2020, PostgreSQL Global Development Group
+ *
+ *
+ * IDENTIFICATION
+ * src/backend/crypto/bufenc.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+#include "postgres.h"
+
+#include "miscadmin.h"
+#include "lib/stringinfo.h"
+
+#include "storage/bufpage.h"
+#include "storage/fd.h"
+#include "crypto/kmgr.h"
+#include "crypto/bufenc.h"
+
+/*-------------------------------------------------------------------------
+ * We use both page LSN and page number to create a nonce for each page. Page
+ * LSN is 8 byte, page number is 4 byte, and the maximum required counter for
+ * AES-CTR is 2048, which fits in 3 byte. Since the length of IV is 16 byte
+ * it's fine. Using the LSN and page number as part of the nonce has
+ * three benefits:
+ *
+ * 1. We don't need to decrypt/re-encrypt during CREATE DATABASE since the page
+ * contents are the same in both places, and once one database changes its pages,
+ * it gets a new LSN, and hence a new nonce.
+ * 2. For each change of an 8k page, we get a new nonce, so we are not encrypting
+ * different data with the same nonce/IV.
+ * 3. We avoid requiring pg_upgrade to preserve database oids, tablespace oids,
+ * relfilenodes.
+ *
+ * Different two pages could have the same page LSN when heap update expires the
+ * old tuple and add the new tuple to the another page. By using the page number
+ * as a part of nonce we can get an unique nonce even in this case. We assume that
+ * we don't use the same LSN in different relations.
+ *-------------------------------------------------------------------------
+ */
+#define BUFENC_IV_SIZE 16
+
+static unsigned char buf_encryption_iv[BUFENC_IV_SIZE];
+
+PgCipherCtx *BufencCtx = NULL;
+PgCipherCtx *BufdecCtx = NULL;
+
+static void set_buffer_encryption_iv(Page page, BlockNumber blkno);
+
+void
+InitializeBufferEncryption(void)
+{
+ const CryptoKey *key;
+
+ if (!DataEncryptionEnabled())
+ return;
+
+ key = KmgrGetKey(KMGR_KEY_ID_REL);
+
+ BufencCtx = pg_cipher_ctx_create(PG_CIPHER_AES_CTR,
+ (unsigned char *) key->key,
+ (file_encryption_keylen / 8), true);
+ if (!BufencCtx)
+ elog(ERROR, "could not intialize encryption context");
+
+ BufdecCtx = pg_cipher_ctx_create(PG_CIPHER_AES_CTR,
+ (unsigned char *) key->key,
+ (file_encryption_keylen / 8), false);
+ if (!BufdecCtx)
+ elog(ERROR, "could not intialize decryption context");
+}
+
+/* Encrypt the given page with the relation key */
+void
+EncryptPage(Page page, BlockNumber blkno)
+{
+ unsigned char *ptr = (unsigned char *) page + PageEncryptOffset;
+ int enclen;
+
+ Assert(BufencCtx != NULL);
+
+ set_buffer_encryption_iv(page, blkno);
+ if (unlikely(!pg_cipher_encrypt(BufencCtx,
+ (const unsigned char *) ptr, /* input */
+ SizeOfPageEncryption,
+ ptr, /* length */
+ &enclen, /* resulting length */
+ buf_encryption_iv, /* iv */
+ BUFENC_IV_SIZE,
+ NULL, 0)))
+ elog(ERROR, "could not encrypt page %u", blkno);
+ Assert(enclen == SizeOfPageEncryption);
+}
+
+/* Decrypt the given page with the relation key */
+void
+DecryptPage(Page page, BlockNumber blkno)
+{
+ unsigned char *ptr = (unsigned char *) page + PageEncryptOffset;
+ int enclen;
+
+ Assert(BufdecCtx != NULL);
+
+ set_buffer_encryption_iv(page, blkno);
+ if (unlikely(!pg_cipher_decrypt(BufdecCtx,
+ (const unsigned char *) ptr, /* input */
+ SizeOfPageEncryption,
+ ptr, /* output */
+ &enclen, /* resulting length */
+ buf_encryption_iv, /* iv */
+ BUFENC_IV_SIZE,
+ NULL, 0)))
+ elog(ERROR, "could not decrypt page %u", blkno);
+ Assert(enclen == SizeOfPageEncryption);
+}
+
+/* Construct iv for the given page */
+static void
+set_buffer_encryption_iv(Page page, BlockNumber blkno)
+{
+ unsigned char *p = buf_encryption_iv;
+
+ MemSet(buf_encryption_iv, 0, BUFENC_IV_SIZE);
+
+ /* page lsn (8 byte) */
+ memcpy(p, &((PageHeader) page)->pd_lsn, sizeof(PageXLogRecPtr));
+ p += sizeof(PageXLogRecPtr);
+
+ /* block number (4 byte) */
+ memcpy(p, &blkno, sizeof(BlockNumber));
+ p += sizeof(BlockNumber);
+
+ /* remainig 4 bytes are the space for the counter, already set to 0 */
+}
diff --git a/src/backend/postmaster/postmaster.c b/src/backend/postmaster/postmaster.c
index e2f8e07c88..c0424f3f36 100644
--- a/src/backend/postmaster/postmaster.c
+++ b/src/backend/postmaster/postmaster.c
@@ -100,6 +100,7 @@
#include "common/file_perm.h"
#include "common/ip.h"
#include "common/string.h"
+#include "crypto/bufenc.h"
#include "crypto/kmgr.h"
#include "lib/ilist.h"
#include "libpq/auth.h"
@@ -1333,6 +1334,7 @@ PostmasterMain(int argc, char *argv[])
RemovePgTempFiles();
InitializeKmgr();
+ InitializeBufferEncryption();
if (terminal_fd != -1)
close(terminal_fd);
diff --git a/src/backend/storage/buffer/bufmgr.c b/src/backend/storage/buffer/bufmgr.c
index 71b5852224..c86b6ea068 100644
--- a/src/backend/storage/buffer/bufmgr.c
+++ b/src/backend/storage/buffer/bufmgr.c
@@ -37,6 +37,7 @@
#include "access/xlog.h"
#include "catalog/catalog.h"
#include "catalog/storage.h"
+#include "crypto/bufenc.h"
#include "executor/instrument.h"
#include "lib/binaryheap.h"
#include "miscadmin.h"
@@ -918,7 +919,7 @@ ReadBuffer_common(SMgrRelation smgr, char relpersistence, ForkNumber forkNum,
}
/* check for garbage data */
- if (!PageIsVerifiedExtended((Page) bufBlock, blockNum,
+ if (!PageIsVerifiedExtended((Page) bufBlock, forkNum, blockNum,
PIV_LOG_WARNING | PIV_REPORT_STAT))
{
if (mode == RBM_ZERO_ON_ERROR || zero_damaged_pages)
@@ -2792,12 +2793,15 @@ FlushBuffer(BufferDesc *buf, SMgrRelation reln)
*/
bufBlock = BufHdrGetBlock(buf);
+ bufToWrite = PageEncryptCopy((Page) bufBlock, buf->tag.forkNum,
+ buf->tag.blockNum);
+
/*
* Update page checksum if desired. Since we have only shared lock on the
* buffer, other processes might be updating hint bits in it, so we must
* copy the page to private storage if we do checksumming.
*/
- bufToWrite = PageSetChecksumCopy((Page) bufBlock, buf->tag.blockNum);
+ bufToWrite = PageSetChecksumCopy((Page) bufToWrite, buf->tag.blockNum);
if (track_io_timing)
INSTR_TIME_SET_CURRENT(io_start);
@@ -3280,6 +3284,8 @@ FlushRelationBuffers(Relation rel)
errcallback.previous = error_context_stack;
error_context_stack = &errcallback;
+ PageEncryptInplace(localpage, bufHdr->tag.forkNum,
+ bufHdr->tag.blockNum);
PageSetChecksumInplace(localpage, bufHdr->tag.blockNum);
smgrwrite(rel->rd_smgr,
@@ -3677,6 +3683,21 @@ MarkBufferDirtyHint(Buffer buffer, bool buffer_std)
{
dirtied = true; /* Means "will be dirtied by this action" */
+ /*
+ * We will dirty the page but the page lsn is not changed if we
+ * doesn't write a backup block. We don't want to encrypt the
+ * different bits stream with the same combination of nonce and key
+ * since in buffer encryption the page lsn is a part of nonce.
+ * Therefore we WAL-log no-op record just to move page lsn forward if
+ * we doesn't write a backup block, even when this is not the first
+ * modification in this checkpoint round.
+ */
+ if (XLogRecPtrIsInvalid(lsn) && DataEncryptionEnabled())
+ {
+ lsn = log_noop();
+ Assert(!XLogRecPtrIsInvalid(lsn));
+ }
+
/*
* Set the page LSN if we wrote a backup block. We aren't supposed
* to set this when only holding a share lock but as long as we
diff --git a/src/backend/storage/page/bufpage.c b/src/backend/storage/page/bufpage.c
index 9ac556b4ae..3a480e7b82 100644
--- a/src/backend/storage/page/bufpage.c
+++ b/src/backend/storage/page/bufpage.c
@@ -17,6 +17,7 @@
#include "access/htup_details.h"
#include "access/itup.h"
#include "access/xlog.h"
+#include "crypto/bufenc.h"
#include "pgstat.h"
#include "storage/checksum.h"
#include "utils/memdebug.h"
@@ -85,7 +86,8 @@ PageInit(Page page, Size pageSize, Size specialSize)
* to pgstat.
*/
bool
-PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags)
+PageIsVerifiedExtended(Page page, ForkNumber forknum, BlockNumber blkno,
+ int flags)
{
PageHeader p = (PageHeader) page;
size_t *pagebytes;
@@ -108,6 +110,9 @@ PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags)
checksum_failure = true;
}
+ if (DataEncryptionEnabled())
+ PageDecryptInplace(page, forknum, blkno);
+
/*
* The following checks don't prove the header is correct, only that
* it looks sane enough to allow into the buffer pool. Later usage of
@@ -1427,3 +1432,45 @@ PageSetChecksumInplace(Page page, BlockNumber blkno)
((PageHeader) page)->pd_checksum = pg_checksum_page((char *) page, blkno);
}
+
+char *
+PageEncryptCopy(Page page, ForkNumber forknum, BlockNumber blkno)
+{
+ static char *pageCopy = NULL;
+
+ /* If we don't need a checksum, just return the passed-in data */
+ if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum))
+ return (char *) page;
+
+ /*
+ * We allocate the copy space once and use it over on each subsequent
+ * call. The point of palloc'ing here, rather than having a static char
+ * array, is first to ensure adequate alignment for the checksumming code
+ * and second to avoid wasting space in processes that never call this.
+ */
+ if (pageCopy == NULL)
+ pageCopy = MemoryContextAlloc(TopMemoryContext, BLCKSZ);
+
+ memcpy(pageCopy, (char *) page, BLCKSZ);
+ EncryptPage(pageCopy, blkno);
+ return pageCopy;
+}
+
+void
+PageEncryptInplace(Page page, ForkNumber forknum, BlockNumber blkno)
+{
+ if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum))
+ return;
+
+ EncryptPage(page, blkno);
+}
+
+
+void
+PageDecryptInplace(Page page, ForkNumber forknum, BlockNumber blkno)
+{
+ if (PageIsNew(page) || PageNeedsToBeEncrypted(forknum))
+ return;
+
+ DecryptPage(page, blkno);
+}
diff --git a/src/backend/tcop/postgres.c b/src/backend/tcop/postgres.c
index 0463da6d46..36759c0190 100644
--- a/src/backend/tcop/postgres.c
+++ b/src/backend/tcop/postgres.c
@@ -43,6 +43,7 @@
#include "commands/async.h"
#include "commands/prepare.h"
#include "crypto/kmgr.h"
+#include "crypto/bufenc.h"
#include "executor/spi.h"
#include "jit/jit.h"
#include "libpq/libpq.h"
@@ -3978,6 +3979,7 @@ PostgresMain(int argc, char *argv[],
if (!IsUnderPostmaster)
{
InitializeKmgr();
+ InitializeBufferEncryption();
if (terminal_fd != -1)
close(terminal_fd);
diff --git a/src/common/cipher_openssl.c b/src/common/cipher_openssl.c
index 28f613cecc..9a6b4ddbc1 100644
--- a/src/common/cipher_openssl.c
+++ b/src/common/cipher_openssl.c
@@ -34,6 +34,7 @@ static ossl_EVP_cipher_func get_evp_aes_gcm(int klen);
static ossl_EVP_cipher_func get_evp_aes_kw(int klen);
static EVP_CIPHER_CTX *ossl_cipher_ctx_create(int cipher, unsigned char *key, int klen,
bool enc);
+static ossl_EVP_cipher_func get_evp_aes_ctr(int klen);
/*
* Return a newly created cipher context. 'cipher' specifies cipher algorithm
@@ -343,6 +344,26 @@ get_evp_aes_kwp(int klen)
}
}
+/*
+ * Returns the correct cipher functions for OpenSSL based
+ * on the key length requested.
+ */
+static ossl_EVP_cipher_func
+get_evp_aes_ctr(int klen)
+{
+ switch (klen)
+ {
+ case PG_AES128_KEY_LEN:
+ return EVP_aes_128_ctr;
+ case PG_AES192_KEY_LEN:
+ return EVP_aes_192_ctr;
+ case PG_AES256_KEY_LEN:
+ return EVP_aes_256_ctr;
+ default:
+ return NULL;
+ }
+}
+
/*
* Initialize and return an EVP_CIPHER_CTX. Returns NULL if the given
* cipher algorithm is not supported or on failure.
@@ -389,6 +410,11 @@ ossl_cipher_ctx_create(int cipher, unsigned char *key, int klen, bool enc)
if (!func)
goto failed;
break;
+ case PG_CIPHER_AES_CTR:
+ func = get_evp_aes_ctr(klen);
+ if (!func)
+ goto failed;
+ break;
default:
goto failed;
}
diff --git a/src/include/access/xloginsert.h b/src/include/access/xloginsert.h
index f1d8c39edf..43c4f1f611 100644
--- a/src/include/access/xloginsert.h
+++ b/src/include/access/xloginsert.h
@@ -59,6 +59,7 @@ extern void log_newpages(RelFileNode *rnode, ForkNumber forkNum, int num_pages,
extern XLogRecPtr log_newpage_buffer(Buffer buffer, bool page_std);
extern void log_newpage_range(Relation rel, ForkNumber forkNum,
BlockNumber startblk, BlockNumber endblk, bool page_std);
+extern XLogRecPtr log_noop(void);
extern XLogRecPtr XLogSaveBufferForHint(Buffer buffer, bool buffer_std);
extern void InitXLogInsert(void);
diff --git a/src/include/common/cipher.h b/src/include/common/cipher.h
index 7d446e86b6..9c4a630cd6 100644
--- a/src/include/common/cipher.h
+++ b/src/include/common/cipher.h
@@ -27,7 +27,8 @@
#define PG_CIPHER_AES_GCM 0
#define PG_CIPHER_AES_KW 1
#define PG_CIPHER_AES_KWP 2
-#define PG_MAX_CIPHER_ID 3
+#define PG_CIPHER_AES_CTR 3
+#define PG_MAX_CIPHER_ID 4
/* AES128/192/256 various length definitions */
#define PG_AES128_KEY_LEN (128 / 8)
diff --git a/src/include/crypto/bufenc.h b/src/include/crypto/bufenc.h
new file mode 100644
index 0000000000..97302a4f3f
--- /dev/null
+++ b/src/include/crypto/bufenc.h
@@ -0,0 +1,27 @@
+/*-------------------------------------------------------------------------
+ *
+ * bufenc.h
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * src/include/crypto/bufenc.h
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef BUFENC_H
+#define BUFENC_H
+
+#include "storage/bufmgr.h"
+#include "crypto/kmgr.h"
+
+#define DataEncryptionEnabled() (file_encryption_keylen > 0)
+
+/* Cluster encryption encrypts only main fork */
+#define PageNeedsToBeEncrypted(forknum) \
+ (DataEncryptionEnabled() && ((forknum) == MAIN_FORKNUM))
+
+extern void InitializeBufferEncryption(void);
+extern void EncryptPage(Page page, BlockNumber blkno);
+extern void DecryptPage(Page page, BlockNumber blkno);
+
+#endif /* BUFENC_H */
diff --git a/src/include/crypto/kmgr.h b/src/include/crypto/kmgr.h
index 386ac1cb4a..6a728ebefc 100644
--- a/src/include/crypto/kmgr.h
+++ b/src/include/crypto/kmgr.h
@@ -16,6 +16,8 @@
#include "storage/relfilenode.h"
#include "storage/bufpage.h"
+#define DataEncryptionEnabled() (file_encryption_keylen > 0)
+
/* GUC parameters */
extern int file_encryption_keylen;
extern char *cluster_key_command;
diff --git a/src/include/storage/bufpage.h b/src/include/storage/bufpage.h
index 359b749f7f..fc855cc3b5 100644
--- a/src/include/storage/bufpage.h
+++ b/src/include/storage/bufpage.h
@@ -15,6 +15,7 @@
#define BUFPAGE_H
#include "access/xlogdefs.h"
+#include "common/relpath.h"
#include "storage/block.h"
#include "storage/item.h"
#include "storage/off.h"
@@ -164,6 +165,8 @@ typedef struct PageHeaderData
} PageHeaderData;
typedef PageHeaderData *PageHeader;
+#define PageEncryptOffset offsetof(PageHeaderData, pd_special)
+#define SizeOfPageEncryption (BLCKSZ - PageEncryptOffset)
/*
* pd_flags contains the following flag bits. Undefined bits are initialized
@@ -419,7 +422,7 @@ do { \
((is_heap) ? PAI_IS_HEAP : 0))
#define PageIsVerified(page, blkno) \
- PageIsVerifiedExtended(page, blkno, \
+ PageIsVerifiedExtended(page, MAIN_FORKNUM, blkno, \
PIV_LOG_WARNING | PIV_REPORT_STAT)
/*
@@ -433,7 +436,8 @@ StaticAssertDecl(BLCKSZ == ((BLCKSZ / sizeof(size_t)) * sizeof(size_t)),
"BLCKSZ has to be a multiple of sizeof(size_t)");
extern void PageInit(Page page, Size pageSize, Size specialSize);
-extern bool PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags);
+extern bool PageIsVerifiedExtended(Page page, ForkNumber forknum, BlockNumber blkno,
+ int flags);
extern OffsetNumber PageAddItemExtended(Page page, Item item, Size size,
OffsetNumber offsetNumber, int flags);
extern Page PageGetTempPage(Page page);
@@ -452,5 +456,8 @@ extern bool PageIndexTupleOverwrite(Page page, OffsetNumber offnum,
Item newtup, Size newsize);
extern char *PageSetChecksumCopy(Page page, BlockNumber blkno);
extern void PageSetChecksumInplace(Page page, BlockNumber blkno);
+extern char *PageEncryptCopy(Page page, ForkNumber forknum, BlockNumber blkno);
+extern void PageEncryptInplace(Page page, ForkNumber forknum, BlockNumber blkno);
+extern void PageDecryptInplace(Page page, ForkNumber forknum, BlockNumber blkno);
#endif /* BUFPAGE_H */
--
2.27.0
On Mon, Jan 11, 2021 at 08:12:00PM +0900, Masahiko Sawada wrote:
On Sun, Jan 10, 2021 at 11:51 PM Bruce Momjian <bruce@momjian.us> wrote:
OK, here they are with numeric prefixes. It was actually tricky to
figure out how to create a squashed format-patch based on another branch.Thank you for attaching the patches. It passes all cfbot tests, great.
Yeah, I saw that. :-) I head to learn a lot about how to create
squashed format-patches on non-master branches. I have now automated it
so it will be easy going forward.
Looking at the patch, it supports three algorithms but only
PG_CIPHER_AES_KWP is used in the core for now:+/* + * Supported symmetric encryption algorithm. These identifiers are passed + * to pg_cipher_ctx_create() function, and then actual encryption + * implementations need to initialize their context of the given encryption + * algorithm. + */ +#define PG_CIPHER_AES_GCM 0 +#define PG_CIPHER_AES_KW 1 +#define PG_CIPHER_AES_KWP 2 +#define PG_MAX_CIPHER_ID 3Are we in the process of experimenting which algorithms are better? If
we support one algorithm that is actually used in the core, we would
reduce the tests as well.
I think we are only using KWP (Key Wrap with Padding) because that is
for wrapping keys:
I am not sure about KW. I think we are using GCM for the WAP/heap/index
pages. Stephen would know more.
FWIW, I've written a PoC patch for buffer encryption to make sure the
kms patch would be workable with other components using the encryption
key managed by kmgr.
Wow, it is a small patch --- nice.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 08:12:00PM +0900, Masahiko Sawada wrote:
Looking at the patch, it supports three algorithms but only
PG_CIPHER_AES_KWP is used in the core for now:+/* + * Supported symmetric encryption algorithm. These identifiers are passed + * to pg_cipher_ctx_create() function, and then actual encryption + * implementations need to initialize their context of the given encryption + * algorithm. + */ +#define PG_CIPHER_AES_GCM 0 +#define PG_CIPHER_AES_KW 1 +#define PG_CIPHER_AES_KWP 2 +#define PG_MAX_CIPHER_ID 3Are we in the process of experimenting which algorithms are better? If
we support one algorithm that is actually used in the core, we would
reduce the tests as well.I think we are only using KWP (Key Wrap with Padding) because that is
for wrapping keys:
Yes.
I am not sure about KW. I think we are using GCM for the WAP/heap/index
pages. Stephen would know more.
KW was more-or-less 'for free' and there were tests for it, which is why
it was included. Yes, GCM would be for WAL/heap/index pages, it
wouldn't be appropriate to use KW or KWP for that. Using KW/KWP for the
key wrapping also makes the API simpler- and therefore easier for other
implementations to be written which provide the same API.
FWIW, I've written a PoC patch for buffer encryption to make sure the
kms patch would be workable with other components using the encryption
key managed by kmgr.Wow, it is a small patch --- nice.
I agree that the actual encryption patch, for just the main heap/index,
won't be too bad. The larger part will be dealing with all of the
temporary files we create that have user data in them... I've been
contemplating a way to try and make that part of the patch smaller
though and hopefully that will bear fruit and we can avoid having to
change a lof of, eg, reorderbuffer.c and pgstat.c.
There's a few places where we need to be sure to be updating the LSN for
both logged and unlogged relations properly, including dealing with
things like the magic GIST "GistBuildLSN" fake-LSN too, and we will
absolutely need to have a bit used in the IV to distinguish if it's a
real LSN or an unlogged LSN.
Although, another approach and one that I've discussed a bit with Bruce,
is to have more keys- such as a key for temporary files, and perhaps
even a key for logged relations and a different for unlogged.. Or
perhaps sets of keys for each which automatically are rotating every X
number of GB based on the LSN... Which is a big part of why key
management is such an important part of this effort.
Thanks,
Stephen
On Mon, Jan 11, 2021 at 12:54:49PM -0500, Stephen Frost wrote:
Although, another approach and one that I've discussed a bit with Bruce,
is to have more keys- such as a key for temporary files, and perhaps
even a key for logged relations and a different for unlogged.. Or
Yes, we have to make sure the nonce (computed as LSN/pageno) is never
reused, so if we have several LSN usage "spaces", they need different
data keys.
perhaps sets of keys for each which automatically are rotating every X
number of GB based on the LSN... Which is a big part of why key
management is such an important part of this effort.
Yes, this would avoid the need to failover to a standby for data key
rotation.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 12:54:49PM -0500, Stephen Frost wrote:
Although, another approach and one that I've discussed a bit with Bruce,
is to have more keys- such as a key for temporary files, and perhaps
even a key for logged relations and a different for unlogged.. OrYes, we have to make sure the nonce (computed as LSN/pageno) is never
reused, so if we have several LSN usage "spaces", they need different
data keys.
Right, or ensure that the actual IV used is distinct (such as by using
another bit in the IV to distinguish logged-vs-unlogged), but it seems
saner to just use a different key, ultimately.
perhaps sets of keys for each which automatically are rotating every X
number of GB based on the LSN... Which is a big part of why key
management is such an important part of this effort.Yes, this would avoid the need to failover to a standby for data key
rotation.
Yes, and it avoids the issue of using a single key for too much, which
is also a concern. The remaining larger issues are to figure out a
place to put the tag for each page, and the relatively simple matter of
programming a mechanism to cache the keys we're commonly using (current
key for encryption, recently used keys for decryption) since we'll
eventually get to a point of having written out more data than we are
going to keep keys in memory for.
Thanks,
Stephen
On Mon, Jan 11, 2021 at 01:23:27PM -0500, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 12:54:49PM -0500, Stephen Frost wrote:
Although, another approach and one that I've discussed a bit with Bruce,
is to have more keys- such as a key for temporary files, and perhaps
even a key for logged relations and a different for unlogged.. OrYes, we have to make sure the nonce (computed as LSN/pageno) is never
reused, so if we have several LSN usage "spaces", they need different
data keys.Right, or ensure that the actual IV used is distinct (such as by using
another bit in the IV to distinguish logged-vs-unlogged), but it seems
saner to just use a different key, ultimately.
Yes, we have eight unused bit in the Nonce right now.
perhaps sets of keys for each which automatically are rotating every X
number of GB based on the LSN... Which is a big part of why key
management is such an important part of this effort.Yes, this would avoid the need to failover to a standby for data key
rotation.Yes, and it avoids the issue of using a single key for too much, which
is also a concern. The remaining larger issues are to figure out a
place to put the tag for each page, and the relatively simple matter of
programming a mechanism to cache the keys we're commonly using (current
key for encryption, recently used keys for decryption) since we'll
eventually get to a point of having written out more data than we are
going to keep keys in memory for.
I thought the LSN range would be stored with the keys, so there is no
need to tag the LSN on each page.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 01:23:27PM -0500, Stephen Frost wrote:
Yes, and it avoids the issue of using a single key for too much, which
is also a concern. The remaining larger issues are to figure out a
place to put the tag for each page, and the relatively simple matter of
programming a mechanism to cache the keys we're commonly using (current
key for encryption, recently used keys for decryption) since we'll
eventually get to a point of having written out more data than we are
going to keep keys in memory for.I thought the LSN range would be stored with the keys, so there is no
need to tag the LSN on each page.
Yes, LSN range would be stored with the keys in some fashion (maybe just
the start of a particular LSN range would be in the filename of the key
for that range...). The 'tag' that I'm referring to there is one of the
outputs from the GCM encryption and is what provides the integrity /
authentication of the encrypted data to be able to detect if it's been
modified. Unfortunately, while the page checksum will continue to be
used and available for checking against disk corruption, it's not
sufficient. Hence, ideally, we'd find a spot to stick the 128-bit tag
on each page.
Given that, clearly, it's not possible to go from an unencrypted cluster
to an encrypted cluster without rewriting the entire cluster, we aren't
bound to maintain the on-disk page format, we should be able to
accomadate including the tag somewhere. Unfortuantely, it doesn't seem
quite as trivial as I'd hoped since there are parts of the code which
make assumptions about the page beyond perhaps what they should be, but
I'm still hopeful that it won't be *too* hard to do.
Thanks,
Stephen
On Mon, Jan 11, 2021 at 02:19:22PM -0500, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 01:23:27PM -0500, Stephen Frost wrote:
Yes, and it avoids the issue of using a single key for too much, which
is also a concern. The remaining larger issues are to figure out a
place to put the tag for each page, and the relatively simple matter of
programming a mechanism to cache the keys we're commonly using (current
key for encryption, recently used keys for decryption) since we'll
eventually get to a point of having written out more data than we are
going to keep keys in memory for.I thought the LSN range would be stored with the keys, so there is no
need to tag the LSN on each page.Yes, LSN range would be stored with the keys in some fashion (maybe just
the start of a particular LSN range would be in the filename of the key
for that range...). The 'tag' that I'm referring to there is one of the
Oh, that tag, yes, we need to add that to each page. I thought you mean
an LSN-range-key tag.
outputs from the GCM encryption and is what provides the integrity /
authentication of the encrypted data to be able to detect if it's been
modified. Unfortunately, while the page checksum will continue to be
used and available for checking against disk corruption, it's not
sufficient. Hence, ideally, we'd find a spot to stick the 128-bit tag
on each page.
Agreed. Would checksums be of any value with GCM?
Given that, clearly, it's not possible to go from an unencrypted cluster
to an encrypted cluster without rewriting the entire cluster, we aren't
bound to maintain the on-disk page format, we should be able to
accomadate including the tag somewhere. Unfortuantely, it doesn't seem
quite as trivial as I'd hoped since there are parts of the code which
make assumptions about the page beyond perhaps what they should be, but
I'm still hopeful that it won't be *too* hard to do.
OK, thanks. Are there other page improvements we should make when we
are requiring a page rewrite?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 02:19:22PM -0500, Stephen Frost wrote:
outputs from the GCM encryption and is what provides the integrity /
authentication of the encrypted data to be able to detect if it's been
modified. Unfortunately, while the page checksum will continue to be
used and available for checking against disk corruption, it's not
sufficient. Hence, ideally, we'd find a spot to stick the 128-bit tag
on each page.Agreed. Would checksums be of any value with GCM?
The value would be to allow testing of the database integrity, to the
amount allowed by the checksum, to be done without having access to the
encryption keys, and because there's not much else we'd be using those
bits for if we didn't.
Given that, clearly, it's not possible to go from an unencrypted cluster
to an encrypted cluster without rewriting the entire cluster, we aren't
bound to maintain the on-disk page format, we should be able to
accomadate including the tag somewhere. Unfortuantely, it doesn't seem
quite as trivial as I'd hoped since there are parts of the code which
make assumptions about the page beyond perhaps what they should be, but
I'm still hopeful that it won't be *too* hard to do.OK, thanks. Are there other page improvements we should make when we
are requiring a page rewrite?
This is an interesting question but ultimately I don't think we should
be looking at this from the perspective of allowing arbitrary changes to
the page format. The challenge is that much of the page format, today,
is defined by a C struct and changing the way that works would require a
great deal of code to be modified and turn this into a massive effort,
assuming we wish to have the same compiled binary able to work with both
unencrypted and encrypted clusters, which I do believe is a requirement.
The thought that I had was to, instead, try to figure out if we could
fudge some space by, say, putting a 128-bit 'hole' at the end of the
page and just move pd_special back, effectively making the page seem
'smaller' to all of the code that uses it, except for the code that
knows how to do the decryption. I ran into some trouble with that but
haven't quite sorted out what happened yet. Other ideas would be to put
it before pd_special, or maybe somewhere else, but a lot depends on the
code's expectations.
Thanks,
Stephen
On Tue, Jan 12, 2021 at 3:23 AM Stephen Frost <sfrost@snowman.net> wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Jan 11, 2021 at 12:54:49PM -0500, Stephen Frost wrote:
Although, another approach and one that I've discussed a bit with Bruce,
is to have more keys- such as a key for temporary files, and perhaps
even a key for logged relations and a different for unlogged.. OrYes, we have to make sure the nonce (computed as LSN/pageno) is never
reused, so if we have several LSN usage "spaces", they need different
data keys.Right, or ensure that the actual IV used is distinct (such as by using
another bit in the IV to distinguish logged-vs-unlogged), but it seems
saner to just use a different key, ultimately.
Agreed.
I think we also need to consider how to make sure nonce is unique when
making a page dirty by updating hint bits. Hint bit update changes the
page contents but doesn't change the page lsn if we already write a
full page write. In the PoC patch, I logged a dummy WAL record
(XLOG_NOOP) just to move the page lsn forward, but since this is
required even when changing the page is not the first time since the
last checkpoint we might end up logging too many dummy WAL records.
Regards,
--
Masahiko Sawada
EnterpriseDB: https://www.enterprisedb.com/
On Tue, Jan 12, 2021 at 09:32:54AM +0900, Masahiko Sawada wrote:
On Tue, Jan 12, 2021 at 3:23 AM Stephen Frost <sfrost@snowman.net> wrote:
Right, or ensure that the actual IV used is distinct (such as by using
another bit in the IV to distinguish logged-vs-unlogged), but it seems
saner to just use a different key, ultimately.Agreed.
I think we also need to consider how to make sure nonce is unique when
making a page dirty by updating hint bits. Hint bit update changes the
page contents but doesn't change the page lsn if we already write a
full page write. In the PoC patch, I logged a dummy WAL record
(XLOG_NOOP) just to move the page lsn forward, but since this is
required even when changing the page is not the first time since the
last checkpoint we might end up logging too many dummy WAL records.
This says:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode.
Does that help?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hi Stephen,
On Tue, Jan 12, 2021 at 10:47 AM Stephen Frost <sfrost@snowman.net> wrote:
This is an interesting question but ultimately I don't think we should
be looking at this from the perspective of allowing arbitrary changes to
the page format. The challenge is that much of the page format, today,
is defined by a C struct and changing the way that works would require a
great deal of code to be modified and turn this into a massive effort,
assuming we wish to have the same compiled binary able to work with both
unencrypted and encrypted clusters, which I do believe is a requirement.The thought that I had was to, instead, try to figure out if we could
fudge some space by, say, putting a 128-bit 'hole' at the end of the
page and just move pd_special back, effectively making the page seem
'smaller' to all of the code that uses it, except for the code that
knows how to do the decryption. I ran into some trouble with that but
haven't quite sorted out what happened yet. Other ideas would be to put
it before pd_special, or maybe somewhere else, but a lot depends on the
code's expectations.
I agree that we should not make too many changes to affect the use of
unencrypted clusters. But as a personal opinion only, I don't think it's a
good idea to add some "implicit" tricks. To provide an inspiration, can we
add a flag to mark whether the page format has been changed:
--- a/src/include/storage/bufpage.h
+++ b/src/include/storage/bufpage.h
@@ -181,8 +185,9 @@ typedef PageHeaderData *PageHeader;
#define PD_PAGE_FULL 0x0002 /* not enough free space for new tuple? */
#define PD_ALL_VISIBLE 0x0004 /* all tuples on page are visible to
* everyone */
+#define PD_PAGE_ENCRYPTED 0x0008 /* Is page encrypted? */-#define PD_VALID_FLAG_BITS 0x0007 /* OR of all valid pd_flags bits */
+#define PD_VALID_FLAG_BITS 0x000F /* OR of all valid pd_flags bits */ /*
* Page layout version number 0 is for pre-7.3 Postgres releases.
@@ -389,6 +394,13 @@ PageValidateSpecialPointer(Page page)
#define PageClearAllVisible(page) \
(((PageHeader) (page))->pd_flags &= ~PD_ALL_VISIBLE)
+#define PageIsEncrypted(page) \
+ (((PageHeader) (page))->pd_flags & PD_PAGE_ENCRYPTED)
+#define PageSetEncrypted(page) \
+ (((PageHeader) (page))->pd_flags |= PD_PAGE_ENCRYPTED)
+#define PageClearEncrypted(page) \
+ (((PageHeader) (page))->pd_flags &= ~PD_PAGE_ENCRYPTED)
+
#define PageIsPrunable(page, oldestxmin) \
( \
AssertMacro(TransactionIdIsNormal(oldestxmin)), \In this way, I think it has little effect on the unencrypted cluster, and
we can also modify the page format as we wish. Of course, it's also
possible that I didn't understand your design correctly, or there's
something wrong with my idea. :D
--
There is no royal road to learning.
HighGo Software Co.
On Tue, Jan 12, 2021 at 11:09 AM Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Jan 12, 2021 at 09:32:54AM +0900, Masahiko Sawada wrote:
On Tue, Jan 12, 2021 at 3:23 AM Stephen Frost <sfrost@snowman.net> wrote:
Right, or ensure that the actual IV used is distinct (such as by using
another bit in the IV to distinguish logged-vs-unlogged), but it seems
saner to just use a different key, ultimately.Agreed.
I think we also need to consider how to make sure nonce is unique when
making a page dirty by updating hint bits. Hint bit update changes the
page contents but doesn't change the page lsn if we already write a
full page write. In the PoC patch, I logged a dummy WAL record
(XLOG_NOOP) just to move the page lsn forward, but since this is
required even when changing the page is not the first time since the
last checkpoint we might end up logging too many dummy WAL records.This says:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode.
Does that help?
IIUC it helps but not enough. When wal_log_hints is enabled, we write
a full-page image when updating hint bits if it's the first time
change for the page since the last checkpoint. But I'm concerned that
what if we change hint bits again after the page is flushed. We would
mark the page as dirtied but not write any WAL, leaving the page lsn
as it is.
Regards,
--
Masahiko Sawada
EnterpriseDB: https://www.enterprisedb.com/
Greetings,
* Neil Chen (carpenter.nail.cz@gmail.com) wrote:
On Tue, Jan 12, 2021 at 10:47 AM Stephen Frost <sfrost@snowman.net> wrote:
This is an interesting question but ultimately I don't think we should
be looking at this from the perspective of allowing arbitrary changes to
the page format. The challenge is that much of the page format, today,
is defined by a C struct and changing the way that works would require a
great deal of code to be modified and turn this into a massive effort,
assuming we wish to have the same compiled binary able to work with both
unencrypted and encrypted clusters, which I do believe is a requirement.The thought that I had was to, instead, try to figure out if we could
fudge some space by, say, putting a 128-bit 'hole' at the end of the
page and just move pd_special back, effectively making the page seem
'smaller' to all of the code that uses it, except for the code that
knows how to do the decryption. I ran into some trouble with that but
haven't quite sorted out what happened yet. Other ideas would be to put
it before pd_special, or maybe somewhere else, but a lot depends on the
code's expectations.I agree that we should not make too many changes to affect the use of
unencrypted clusters. But as a personal opinion only, I don't think it's a
good idea to add some "implicit" tricks. To provide an inspiration, can we
add a flag to mark whether the page format has been changed:
Sure, of course we could add such a flag, but I don't see how that would
actually help with the issue?
In this way, I think it has little effect on the unencrypted cluster, and
we can also modify the page format as we wish. Of course, it's also
possible that I didn't understand your design correctly, or there's
something wrong with my idea. :D
No, we can't 'modify the page format as we wish'- if we change away from
using a C structure then we're going to be modifying quite a bit of
code which otherwise doesn't need to be changed. The proposed flag
doesn't actually make a different page format work, the only thing it
would do would be to allow some parts of the cluster to be encrypted and
other parts not be, but I don't know that that's actually a useful
capability or a good reason to use one of those bits. Having it handled
on a cluster level, at initdb time through pg_control, seems like it'd
work just fine.
Thanks,
Stephen
On Sun, Jan 10, 2021 at 09:51:16AM -0500, Bruce Momjian wrote:
On Sun, Jan 10, 2021 at 06:04:12PM +1300, Thomas Munro wrote:
On Sun, Jan 10, 2021 at 3:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Does anyone know why the cfbot applied the patch listed second first
here?http://cfbot.cputube.org/patch_31_2925.log
Specifically, it applied hex..key.diff.gz before hex.diff.gz. I assumed
it would apply attachments in the order they appear in the email.It sorts the filenames (in this case after decompressing step removes
the .gz endings). That works pretty well for the patches that "git
format-patch" spits out, but it's a bit hit and miss with cases like
yours.OK, here they are with numeric prefixes. It was actually tricky to
figure out how to create a squashed format-patch based on another branch.
Here is an updated version built on top of Michael Paquier's patch
posted here:
/messages/by-id/X/0IChOPHd+aYC1w@paquier.xyz
and included as my first attachment. This will give Michael's patch
cfbot testing too since the second attachment calls many of the first
attachment's functions.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
2-key_over_1-hex.diff.gzapplication/gzipDownload
�Q��_�2-key_over_1-hex.diff��<k��F���W������-[
�k;�/q��x76�E�$f(��c�
��_U��dS�x�,��FbK$����U]�WY�g��l<]Nfc>��7#o�{30�-�|�-���?_�����Kbv�S6������F����+@���5+}�����������+����^����%�����<4��l8|6>��Xw0
.�����/���������F�[~�I�xv3���'��Rz����~ �n�����3����~o�m?3����E'���x���r����
�"Lb��I��� [���� #
�y��&��!���q^xQ���
`S��3M�b�����e|����X7(����!\�E�nY�&3��
���/*x����r�l���
���(B'X�n3/�.bl4p�P1�� .7v-�3��R�r��$���@Z�
A�
�.���[��sBh"��9��}���"�����?E���7�2�/�N�"��|r���#�I
���-2��$���w���������I���z���A���p����K��K�<Ow��
��N���&N�0v.`���J�k�"����
\��o3`~��7�� I;������.�6�e�p���_�n��2�]t���|{Yi~6��
c���(U�
�����^Nl
b��G��10��*����O��'��Gg��������I��������=:7��"a?���6����O�kX_�'�q�.v��M�+�0���0����w"\Crz�$.�$�h�1 /��n�Ib�z��Uy �q��5�`"��0��_Ct-�L��P��
�p'Y�/5����:3��E+X%����cj�����pD(��I�"��
���������������j�e�>E@������$Ct��q��M(�v��`��
��SpHf
[\�S`�H�67o[�|��
pu�)��gw5Wf��~�
��,'��0�������c�5�x��<��D�ai�du����n�u�.��1k�F�Q�
���D�2�:����p������|��5(��"�� gp�j� ����d
�+M�@5�3$�j`�:���/n������n�=</�s�6��I~����`���������hA��ZIe
`����`o>o�7������kY�8X��N�=x�#����
\`[���g$4��Z�<
s
i} �Q���T��{m�@�>Y���
^ziTID��pD���U 8h���p;$�J�
RR������S���E�`�����w�w��
����
k���2jT0��[
t��[�XCt�h�?�|
�,��O/.�p�a�.���[�B��[���Ol���|�-�^o2
/���r3g��`6�`���
������u������>�
.Jw��,{L9t��Bsf��a�ga���=}o�O���2������q��[����y��,�
V�eS
�"�+x�����EZ�
��>,��p6�1�6��2(k ��;/��*
��]�%]��g����B��y���M�>-`y�m
x������/�M�1�`������=P���T�<�g{%�MLpo
1��0��J����O��
�'l
����K�X!_���
���,�7��@�0�(3\/Ma���"!PA�dC %��
P��w\�..
�,J�u���b�M�n ���pcP�D
|��ze� +�
_i�lU
���K��b�9�S�x����fq�_.�:y`p�}k�I�����VGD6������8:XL���s ���S� �hq��
"�
�z���Ku,*I���Z����V�j�r+�z��)�rI�a�
��:����xi[�A���/`g� lau�yy�
XD�<�(�|���#z��q5 8�{)���.�^�;{�'
���1��-?��c�k��!����Z�{P�L`E�K�U�y �d+�d��
�Jh1lf��gq�Z�t�� �MRW�8�$�
�r]����� ��~���
�F�0_���W����RG
ki��{1yk1�zP�a{/�P���-����������w�/A��h#'2uS���G���~��^�'P��e���z�
����E*�HL��a����(��
���^q���|
LAuC�==Ci�WPZ�q�(.�vda
�^�l����7�q�#�Kb�k)�@S���f9�`�9�����t~cE�
I�\���WF�Sr��yzu�eDZ���4l�W����-�r��$��\�O�j\���[&�Uf�/�)#�0�G�Y&m� ��9(~�`���D�JA+!|�}I�XG�3�%�m�������p.���
���}���,���*��d\e
�-i*�:����EnHn���H`����U�
����i�*��bfF�� �������.
o������&��
�{��i^MBp��c1�?O���y]�)��j�IbyV�d*l�H9���`��t���=<
:��b2����|1�wfc����#S`7Q�e_}��
{���Q�;(&�oE'7�{�~x��k��_�=���(^<������!|!��
��@�E��.4x�������","~�**����B��F?������/�[�����
�C��
h�m�w}���R� �O��j���#y���}
aV�iW� :��<��UqH�SR6������N+��p�e�s�zK� �
�X��T����p_!G��
�cy��p�G�aF��>#Q��=����VJ
{"
��E�3���rqX�^�*6
�X��m���~���vZ�;E��V�[.k6a;��d�\�TrT������Z�J��z�R�&p�����S)����v���\g������B����t���U�j($Y��R�eO��X!�0���:(_<m��4����l�}�B@X��w0���jI�}��b{�"*���esK�lU��V��b��yUsK�\� �oL�
�����^�����K�Dv����
�O5Ds%f2V}�ZG&�.!�g���Q�/���]h�DX�5��\E�`*��7�5�(���=Q��p=���N�"{��1�az�Z����%��9���.��qgD�qp���M�3H�n0�e/��W�~����
�����=<�%8(�@<�3�J��i���v49E9X�0&� �J~����Gn�#m)���f������>(M}����s�E����JE?�4�d�S�)�ig��J i��<K��aN������
��^<C�
�sV}����4#�k{1i�O��&���{�j�����+*��o��������8�m*
��|���T��m�y`������.b~/T�SG���p���z�z6�
��|J������c�f]���k��t���Y��_\\�����P�KnAJ
�@��
��:��^�k�k���6��mj�F��VW,\�2�����j7h���4
3v�e��}w�#��Ui��
�IJ�uJ�v%�O�A��v�����
J�����X��Z`'pX�f�]x��,�+��C��O���Q��%����%mo
���zU<�+=N�
1Q�A����6�v~a����Kj��'�2tl�Zwea� ��`:�YU� ����t���?E�F�o K�����%B#ciJ���e�A�D�8K(d�����wX
;�s��X�0P����z%(Q3����D
�i���4��/�}*��F����� $. ��'OD�!M��F}��AfX9e{��j4�1���!,���z*��.�Z����lA�4���|
1�d���
��IA|AB�.��*�v�C$��M ���<,���+�G�&!{
�FU5��l�R��:����t
������JH&px��j�~%��<?K�����7�@�,�<U�%��{��a~����oR�,���h =�
�����J�M-9�jbq�.TZ��Eb�&=*:���|�p<�q(�Aj^q>�#�[Q�#�^s�C
�
l���m��K�PzBD��H)(���������&���M?f�+v6�V������<��E`��%a5�yk�p�J��H
�0�v�{W��Z�1���1 �^�R���h H���g��h���uT4����ca�?$����mWpu��Z��1�[I3�I�7ok���M5{V!K-+H�A�TU�
!Q����v�^�����a����}��v��2��SK��[��=;��#@��f����x
���k�q��)���/V=t�>�������!�j
Z35���[���P��Vni��:��r�VL�C�
U?��XKS(�4���}
������B�%L*_�U�O r<ey�]cB���Q��HN+I\�M ����d�!3�Oa�<
���'>F:GMHIN�|�O?M�U�,Cb������,KD�;��@.�)�%�9�����,%x+j����
z;y��� }�#�N
A�&��x*����������KfM7�:w�U#��E�7��l����1�N�r���[\��FL��#��3-~��tx�U����B����$G��P��,��*�J���
]#7*uM�%MO�8�Qa@�6^���
�<p����4�tm��� ��
hO�����B��-��h�a��H4�A�G�Yw�-y`��
��yi�Mk'D��3_w^�g.Vny��Mv���5�m%�u�RJ�~���y���%W��^�s�
�*Q��l����9xY�q8����:�>rS�V�
����z������f��|� ��"qt]�`�e���,�M������>���#���������
{�o�!(6���P�aI��^7�a
��8~
��g.�3���h��"�
�JF�=�
�l[���]dhXo���
���.)\��m���������C��? d�_
F��dyD�MDA7 ��Yg���Yg��xz=�k\�33S��������"�H��M%�8F�&y}���G�D�S3[��}�r3����S#�}y=��/Z�R������p
N��B�q�j�����<&�T�F�)
�]�8�������j�����d\`�'P� GKx���jmn2 �����9��5�r�r� }<&����Ld�<�#�#&U�������U�� �n<�����l0Y 1�*�U �q��
&�3'�D������~�|�>Dn�C�
�.N#��/���
��(n�|�
�����'2��������T
�O�_DY�x@��
�o8
����/�� �1������C��E#����*�2
�E�F��*����9(������a�T'��c�Q���������:�����Bn
H��AcN����:����T��t&Ph6H��
P��Z;6�n��|�o)0��h8�_����T
�������o�J�j�/nB����
N�r�������r@u-(������y���4���Y$J��h�Gz���g'�| � A���,o�k
w%��$9L���s������Gz�`��l&���;�Fl4-N�~�\���
��!i����
��C@"��-N�
C�v��1Ap� �b%g�����������+]3[�]�&�����s�� ��D^`��[�����0_�����������S�S�q�"��GdB���3\��&�2���R��a�s s�9�{53s����&��
��i3��������7�Z0�pL
�����4����p� �?�B�4>�+����4 C��b��;
,~��� �� ����5�e%����S���N1������4��\���bG6�l<��L���klYq;4�Es���e�$��
�/� ���U��?i����TA���:�?������
�������4�>n����
-�c�?JG�v*�`9�-��
�
�T
9s��Y|�'K
v��s�7��r2
|vz
���5
8��/.���l5�K5%�,�D��"��3�����}��� ,�j�)��uS�P�wV�*a�~�D�\
W}�E��?`��W/
"��o��8I*�Z�i<���"M]U����+z�'�V�DH
E�!E�� I�0����@]��������|S`���2��
}5XUh^���m��3��s���c�^��M��\���H���y�j;��0����Im�I9�S�}���9�����E�[L��gp�k���h�o��6
��*����}e�m/t
3�vu����)�p�U��
�y�g��G���2s�Z��Y���$�'�����1��c��
�
���Tv���Z�l�����LK�Q�����[�Jz�0j���I��99���
J
��`it�d�
S�t�� ��\��!
��b1��9�[�Kqz(�>�@CS-s��!Q3����/�B��H�j�X�-���i�� ��,�9@���&�g51���
��F�����y
���� _����?m��������W�� 0�r
P�}1�2��������7�HTm�h
,����k��
+�(d����G���*322b��k���:�E���r�-$ fF�T�w���z�0b&40�����U�������_%�b��6����VR-�>�:���U���n�c��{�
������d���6�:p+���r1of�c�&�}�z}�
0g��3���v�U
�w�X�]k�
� O�����`�;�rZA�r]Eq-vF�2���
S�t���N��M�?k��Vs�(4&��*���0��B���uM��M���@��X^����RlUn"�R
�}w��PE/��Uc�UVmv�I��:��N���6���~���v�*���
>Mo�8~�|�l�/O�o3[�� ���;����v�$��>��5
���=u
��]sa���������g�������8K���tg�"6��������ef+�t$(j���n�q]&eI��e�YCYP�e ��C���K��uq�;��b�cXi6��]zi���
�E� r��#����~��z������C��^ts��ku��d��6
5��6�X��^�%f=�;zyt23�%f�8���Q�����\���^%=��`���T�iz�D���t:�X�B�hi�
Gz�6e�x�{�0����~�b���+�
���b)��~C4�UZ�^L'=����#q>��{�:��91��_.��_,��yb.��k
�Zc�\�P�i�5l=n_R��$~X�����m;
�T��s_�I�����e�z���o��x��U��q�7
�s����
����2] �2C^���:�6��7H���|����CW�\)��������:��V������{���xQ�����[pt5��B��J��\V�,D���r3���������u[S����}����p����0�<q�S�I�����EE�w//��4��w�����$�6�`9�
��@�����%�D�=�
X�J���������>�.q���5���x: �����I����}�*�v}�4IZ�L2����y:�UP��@
2���k�*/�sm�2���5�l���*�zg.�d$���?�����
_3n��Jb�f�
+�I������&GlN�"��~����/%�Q @)(���s�,�bn�[ fq��������4�R��V���U��&
�kS �X���O6
)���j��QG{���g�������dXF�O�^m?j?�gJ;(���+�
.Mk��{��ib�5�e&
+g
���
tln�4&m�������dsS���,��O'�[��dNp���{�eznQ�����!�=��z���i�;$K����i��r���vP����E�v��'�f.�P�D��q�N���)A�M���>\m��Y�n5���f�:��fRn����f����V����HL�f���E���%{0-�ZPC%~[��.v��,
��6q�iS7Y��Ln� �[S��i�F�-J[J�
v��%�]�~��<f��lw��=
�o�i,
7+�4������|��/>��Q��a�
9�-��������i{cvu��g��2]���:!����zu~��=]�D�N����*����i��^��
����������1�8��Eo���
����[LV����.��,��u�Q�d�'�� ��kKG]TdV2y+���a���R� ��g(8���LAO��B��j��R]M����K B0LyUS������K������+�+�\����moyX&Y�{e�
o��0��N5����xs����'�����_���2]PY�w��a��fsj|~��fK�z[?>�V��{5aE��K�Vy���vq%k��M��n�9��]��F�__�e�R��|j���������0[z�Z���N�G�`��[�% �2��l���5?���i�H������\n3��/6�u���t�,����>Y;8<=�}�rD
�zk��
��&K;
� ��|��
K���� 6Z ���r��
��^�3�.~�����<i���X���j��O�N[�������=p��O���}
��s�gv�W=��Cw?���_FW�'�����7?�����j���������p�R��Z�d�Z�������M����?���l|�S�Rk ����14O�����a)���tG��o0���zw�x��x�m�
�Y_��B<n������p��>^6w�v|��|�j������/�H��N�/��.%��*D����3�{�Y9����gX��U��7yqim���S�"�>�C��Xx�\n�
w�i�������3��}<+�5���y�q~�(
8��������V�z���mV��
5����=������@a�y�
^c�c��n�N:��'y������X�8r�:)i�m� _���+\�Z/�hdw��7��+&W�b
��Bj����]V�N)�t#v^��H���/�oz�������8�x��]�q�?l}��N���S���B&��|��
�>���������UHb�(b��������yN���~��6�J7/S��-�Fknn�P���d�G�&�uM�s�a$�'���w�#������QU���}�������W���?4�
�{���%����Z�Q���[�~�cn�����EtP�u��w�����F{G�^�
> }u�re�TX�^ ?��s
���xf��=M�,)���}VD�A�
����/�
�17z3f��3������$��GZ�
5
�3k�����
���3�q���3��]��'�Zn�2z5#O
������J��j�R���r��W�_
���RO+0�����Su>��#L����o��`x�����7Bj+O>7u�\GW�sC����*��Ju�jd�grj�2�aL��z�z���e���DHr�T�����|][���tu�z�����u�����Wk�f���V�&����_����Ow_nZ��tDZ?9x����a?+�Sv�_k����3��5@�,����+�����5�*?Yt �����!�Z����3�1�����}��]/����Rh5�
x��
/v6����%���D�������NX��(���^X�����(L�+��R�x��F�����I�|������eSMCl����e����U���H�5C
�2N��������������]Zi�����o��q�_�f�*��
k&�-��g������>����x.,�9P��
,�����
�@���no+�����={>,
k
_��b,�?3�H[�$�mRU�����F�&�n��U
�,2��L����%�������^�]�"������\���a$���p
������h��b"`������������{d.N�����pbU����B�>A[�^5t�{)�VV>onf��(xZ��4������lK���a��W��J3���J�/��kb-w�~
_�Ay����\O������Z����'�FJF/l�ZGoZo�p��z�K��W��
~r�v�z��yn�����5_�M�kz
|8���;�N��|���ov~��~gkgu}��z���������q,pO�c�j����!>��%X� 2�{\<�e�J ��xGK�������F{_��}s���r�������e4�������+�Q ���V ��a`����f��_w��c5�}S�6.�����
I�O��C(�����z�������������I5��@��F�,~�f�������J,�� xn``�C���[G��Xsd��5P���U N���3��2����N�\��@��v�{x�����|r~%���G���X��* �m���u��>����Z\�����8�����}�t�67�B�v�b�F��'����H��x�C��X��j�� WA
�N�035s�����W{�g�/��E/"�}��?����Gqh�m� .��~"�Q�V��Y�a5����I�^�!G_�]�4%
�������3���x �
��)b��e�/��2
/�����g��0p5
~�$_=����|�KY�6lPv�;�NU~�n�
�L�%r�����{/$�������':^�fn��H��O� �H�g�EK�%��I����!6+t���4]�
m�`�~����u���~
�T�fR�nG�������>�� �����j9_|��=ly��Q�&"�����3m�0�'W�����'�6���?[��Y�d>���)�B��������6��}��]����n%����=��F{\�i�Me�
m����6�=�g<il�o���*��� �ds�=M�� -���G����lM�
�F]�|,�^�+S���G
��������)}�����H0@����\Q����z������I��O��i��$�CR�k�����p������}�&��u���+�in|:}��5�d�c}���L
�
����[��c���U
��[����������
W��vu�O��U3��S6�+XJvb����Q�T��
J������+���H
��/|�0wN/�
�clE8��������z����ES��_dnI:��Y%3�~��i{��w�<y"\O��qu���~���h��!��O����MZZb��z�N�7�Z8 �&P��6=����cYysH{��E�p m��1����U=���W��Iy�����
kPo{������9 ���T���R�F�������������������O�)Z���=�;���r"p&0c�d�_�� ,�P�1�y� A8���,����P��~S-r
Qe%�t�
��b���Qub��T��-�(HF�`�������LfB��t�[����[�|����am
Y[��7���S���o�n���'7�O��1�
��H��[��+�=}����N���<U��P6��]=~*b�O�������?|z���`?���p�����W�g|�W��������
i�1���h�(V��u�������fT��g���K\���'���=�g_�N)�t:����%'z{�B�
���di� �w�����~�����m}�����2hL������7���W��{+I�����~�������c�?u���
\n\���D��/6��W��}(��U����._���e�����"�zd���q�V����P��������
�O9�����<�l�������1�'�^
>�;�����kMt���c w�p��?���d.8��W/����r=����
��'�N}x���~�w��8gm�_x����T�>>�G��q�6�S�,^��=���������Ln�8���a����vu�\R!(�}v������M������i��{����#,�`���F�|,���O�K�����$��~�����1�����*������B4WV�O�����{��1�']N/0A�3����c��
|��|-��oExY��
�r���G����y��6��v��f&�<����KNX�-/8�\�m���x|ku�����UGY�p������,AXBVK�6��Gd�5����b������
��|��4�{�F����� b�j����� 1\��N���
����y�?�S�g���&����7��<zg���
��
T�ow��@�F{>���c������R<�k�?�"��i�wcF-���E6�/�?|����=9<8|��SO������;���M7h��[1����3�]���D/Sy�:
���K�?�=��L��J���;���_�
B"/�F���6&r��*�U�M>�0/��
rU��
l�}������������K2s(�*�;K1=��@����^����x^�G�~s�_��������`3@B���*����>�-V4������(���`��J�������2�:W 'j���G�� `e�
�����x�c���8�Z�2�w�qU�R*3
Gjy{�XT��c�G>���gN
$+����YX�kk�����q�q���m���Q�M`��w������WM�]�e�s.u��'r ��!�A���(N��a����Ei��{�RA/����-T�����'��!�����������7�
&�U��7��p<�������'UMq��C�1��e����:
PB�k��Pw�M�j�tVud�N�\���cLc��||�C/�3d�r|�Pn�o^�8Af�I
��VMB��W�����2Cf�&P]�^� ��Pc�b��L�0�IZ�
u
�X:�
�}�
e�5��k,���q[Jlj,+��H��_�)`�j;k.�a+�}1�nR�O��������������[������W/$��
�>�����y���a�$��0��?(�?n�I ������x���h|w
]���a�-�^�{ �,���|�� &�C_ d��
�k���/�`MN���tf��1�����0��������U�����,�|1���|#�zz��
��8����)_�.��~��uz{s��6��.��Q�\J��t(�p
UZS=��N9�����iS{�,P.�[x��?�x��}��6��;e��o��RI
F�c���W���+t2
����> �1M���,Y�N���h"�^�uZ��X������7V���MJJ����K�U�8y~{7�4��K����o��*�_j�d>�53��6������*���Zdp���4��1�a��+fo�Xq�2�*
�$�L,!<�B\UDA.1=��������vJ��F7kO�!
��4���/���� �t���������<}��LXy��/#��>����90� v_�<��({/_�b
0z���w�H�xw�V�� ���_�2o�>�
� B*Nnn��ON�Nt*����a�~�w�|�wt���
A�#�n]_h�����Ze�.���NM�T��n�
��]��4�bx�j� �
d*���
�q��ik��lUX�tN��K���%�W�����.#�����)�N��?�����O����</�� U��d�����/���]
��M�����*��N6%!��o��+�wk]U�]������
k�,�3�R����u���I|�u�&
B�T��uP�����w��g�����7#=K��u�/&ww��Z
A<i�e��zu�U������v���f�?b
\��>����WV���^�����@.A�n��U-���g�<W*t���H '��5lA�oS��1��ueM�Y�����1�
��������W+�#�:�lx��k�/f����
"S�
���6�Y��z����3��g�3�6'���f
$L:�^�a����j�x���|�}��54�>�����f4@�3
�$Q��O�9w
1=
[�j�����
�U���
�Y�c�`C,�+n��_��
���������_Wf�����;�m�]���o��G35A���J�f&^��r������?�_cew�OG�|w�!�6�aF����HY��z6|���(��j���}�������Z�JKCZ?���+�:p��������>X)��n���?^=�d(S��lF@��x��b
o������Xia��YPV&���t�!������B���X>�����Ltm����M2D:�Y�
��.�������-G
U�����55��`N�7k�h��1��
���l1��������,�J��$��?��� �oJ�������[����@9���
�m�#���
n��q#�VV�����
���!��j20$?��og���F�De�?������ 9
"E���������9��>[�<����7�{��5;��������b6����b�_Y>a|;
mM�k�Y}
4Z�n�N����5V�b<�������O�����7���jt��w��������OW&�V����
���
d���S�����
d,���V������aP�!�? ~��P����)�B7w�
.u�N\a�PJ��j�[�,�U��c�.�P�� +��������^�jX!�su���������*�a����-��O�/�f\�k���n�?�O1-n$�^_\::�����/���wOv_�S����
�Qx
���%����QN�n����j�� �#(�7!���T�J6�E��{�t4([2��9x��-c�:�4&�����������[�.��
�6���k��!{>'��+~��
_cV�{��p����}m�=av��u�i�F"OM��y��NS�
q����.�#�����;y}m�*����Ap�� ���k�_
��0^����
���L�
�$�����[��E������h�o7uo�s�F�����a�&2�G�Fxz[�N��|�ZvP�V�\��Z����o�V�j�{v�.��s���K��
D��c9�4�K+�s
�2O��(����Fk�4�L���.U��Y ��N����b{z��"��f{���%l{�H�T�tH�������2~�{�������@�� ~�o���T�^�Ut
�N�:���3��}%�t��j[Hi+���U����9�y��u���6�L
x��"��Il6G/�����$ �����gU��d�7�aD�5E"�M�~f3���:��N�h�� U���`)=/�;����;��n�~�}���tz��Qf��K�"�
��=���#�����j
�
U������h�����k0�y��{��!����`~�3�w�uY�b���T�]�s3��I�`��vo{����&���tmH�u�/��>�m�m��m�
)@��T��o5Z���k���yv���
�t�L���}U��n}Q9�7��$����g�E��
��4��� i��s����l'�V�bl8�������������aCa�NhL-�� �-E�R�.���LHD�6 L�����
��>��y���g!��U�cm�3N������7�5���h����
&�����u;������)`mf���+c�U���{�����>�G�
�����e����?�/y��(��kd}~���^�"<�iI�!���iX��Ce�
4���i�=n��0y�z,���|���Z}5i��n�>���;�� �jw��m["N� �s���aO_��\Y:'��D
��i�d�Zr��pY��� �7:�zZ�]��
_��[��)�_�R����]�Z4
��5�D��������&�P�L���!-R�\_{4:y����/��w��{&?���?
�}yp�{���?$~A���(���+�
p]�����}
�������p������h�����Q�>����l�q_J�h,�)?�2?�"R���N
z��{���*&�dN�����KU�<���8<�m�x��l��B��������^%}?��9/��Z�����8^
���;�k�
,�������Z����.
�{�UF_�]�yM�W�� ������M�72��R��FL2�w�����4�"�H�e��>��
���/����������C��#������
�e��S��]fNn�:�g�ano�� �� ���&s��=�s/���!��o?������-��6���
D�
l�!����/p��t�]��������:/T����#a(7Z2V�������C�rU��\����i����g�L���+���������U�������I����$�Y�.A�os
1Cf��������������`��
_]��_��t������Q�m`T��Y��F7K-���������,��U���A����!qew�
u�X��fNw�s�U+�Oq����0�<W�����#���������uk�7�z�.���~.%yq����f[Fk���uH�����������g�L
_�]R
g���R���vM���8�i�Y���
vm�O���#Qf$�=��W�l�����}�:����[���L������[���Z��un�?����qN���N��z���
�u[/'w��+�P)�/���������}� :�:�� c�>_�d'�l<�7f0��@��{�������g�x��zMe��%E�
w����+���.����!���b_�o��uk���x�%��v�&xc?Di%��p�[�1�G"�}��0 }c� ����\�z�%���f�������^��:S�E�J��
����b4y�}�6�
���b�����H��`�� �
������W��3Z���{z�q|������<3�e��dySw\��r|I���Re
����m,��*��r�
�5�<��T�lo;E��ed��|�94�,�
�J::A,���C��2J'=A�q�'k���}l�����v��f�������6�r���'G���e��m#��g�*.�j|q���f"
�V��iDX�ZK?��}�!DwDcWb��U-���o�h���
����B��6��/������>~vdN�y���|9����Eq61~[��]�@���H[WB�
�FJ��fS�2Vv���r��
m1���$�bx�+����
JU��z�o�6���d�dL�0���y1��������=�fh���
\��
k�^LU�����B�%)5����
�_Y�-
�X�nZ����R������F�b���E�N�0����fu
�30?��gVhk
�l����~��z���.� c���-9pMBn��M�i�6FM���q~�.r�.�`U�[�E��z+��a`5n��k��:��Is��e������bg_}U�����������������������w�����'�C�z�a�V��(&
���c?h
���u(*�LE?������D��x-��]����l������Pf:�����<�\m���������]z)�v��'/�
�|�xn(�j���<�.��'������3uyMV;�z���>��l:��T7��m��J?Z���w�)*�&9�bN;<:�1�m��[w��� ����s�q�����*Kk�����A�'I����s���s/��Zwb���<�U:bTA@0[�x�Ce����sK���u>�����$�4���~���2E�!*E��p1P9�g� �U��m#
����#K^�jG������ ��G��������O
Hr����bA� k��������)��� !�����m�m)��^M���������1��c�����m�
=�[��r@F
p�J����Z�� �8=
���T��x����?�: ��x�(�^`A�d�J����H����v����f��"
4Z�>���X��i�}�������
�sh2��K��y�z���
`4�%���.k��M�����S �z%��]@!u�^�a���5�
mj4E1��7��i}yv�T+�@���k �O�`K^���^�1��^���x\�b����{�/w��a���S��_jz���I�����,��0����]�H�="/�Y�������Zi"�es���w���\�e�"U������sN����*�n��E�oo�>aP�w�)
r�y
�\�s���[3{m[�����
�/Q�QS�*fb}l��������/��������'��K
I������v��
�jp?|d
Nn����s���Y:�h��b���x���1y��[�.�<c;M��m��"
?���Qf��X+D�3��%�wy��P����Y��U��f7O���V����o����k�^��b�
�H a�F���4�W�9xu�zq����{��ja9O��~et4��=���}��Q�~��b���O��������=�o��� j��c�����O[�`�mq���Dj���S���IG���}f�]o9�������0��w#�W����V�]h/BK�����O�O�b�n�C)���~~�O'w7�j���bq����>�*
.j�������7���Nm[��KL��M`|K$������e|�:��&���
Joo���"��[�Q�v'�+
��C��z���`�7�]�+�
4�a�X����.�
Mj�2D��
�U*P?`�:����J��8mH" U�$nLe+��br���N����`�,�TL��KS��� �hF^��6���(Q*�!0�4��L�����0�s����h�Z*r�����j��1��*R.)-+C�X�|m��� �pV������Y�SL�F�]�� �
]M&�k�����z5�NnLj��Z*������/����N��]0���3U����m����.�����N�v�2��lu����x=���gG����~�jh"��BU�����
:�y�01_G���`�i��I2+Gf�Y���H�����Y�)�5zsw�<+��5V(����6�� W���pj����U���d�t�lt$�r*AVo��0w�
��OV-�B��M&�����������
O
���:~�o�K>{~p�
��Fu����lx����i�?7��f�:l����j��;���a1�^��FyJ�0�� �,�������o�_
��4�B����s�"�Q"d���2�zx� 2�s����` j��0���i`
���I��R��(�df!�1�X�����_ o�N������ ����dl����j��
UT�b����y9�����lz]*�����
��6�<z��������w��v���T�H���������!%���&.#�X���frAG�"������$u�4������� ��[N\���Pr�\��
X���G\��E���=
�}��p��C��)p�$$=j_M�4t�?����++��z����� j���G��\��s
?�V���/�s�����k�g~��J����7��������B�4u#�8m��o?�}?Q$� N�[>�
�������[�f�����wt�!�
�R�X��\���p��������;�k�F� ���������%.t�;�Gx�����{7������C��Z�X�2�U������%hx�R�,�����X#a���D
0:i�8
]^K����n�-p��O�s��L������;)�1���X$���rd�����
���'�+-mpy�]��"��\�� �Z�p������[<�p����Zfy��i3%��s_�[9�k�����,_�d������}��<���$�U������
���
{������fS��7-��,
^�d����������Wk5g�'�Qi1^J@�� ����i�^o�E�xv��eYno�9C��R-0�?�b�1|��&x$��l���V�� ��
wSU_���MoG��J���I+h�
>n�?`x
9\���c����Y ��2A�Tr�������������JVr����*eO�y�mog� �q���1�om�K�c�7���P��J��dM\������rku�����xd�������)��G����.?�D�M�@<��%�0�5M�p����fW�T
hZ �
.�~���r����������z6�/J<'*� ^���U���w�����
$�@��mw5����m1I��3)������$d�a���i�
uM������������1�
�,kQ����������T���P[�Lg/�3����k���pn��4U�D8�CF����
�����
�pY����j�(q�0�V�����L+����Wm����Y���.��b���S���&�f����
���3PEn6�
���(�I]����xw%u����KV��J@�8�: &\k�_����[�_)�z�[
h��5����G_���t�����^N����*��$�`����
5nK���N�����~�YlUc�9����`+g����������6��t���o�^��8 ���YU|j�����I���~`O�
vVac#��t����9UE/����k��
k�
�Y�M�Y����s��x���V��&� Il��@����o��y��yW�����8q B�I<�����k�����
e�"����h�s
��"X����{�N�������{������o~gN�
����q�h>�V��M�
3��A�
��W�h�aO����Z�
6��nZ��f}*�%���
��e�97�#Z?�HrX�X�QVWl 2������������f���N��<n���X����I���A&Z3����v���������18��J�T<�L������i���?���h;�
��_��
���X������U��#A�u����'MZ���*Z���[%�0�{��,�p����O�
����a�?s`��^46>��
���/�Y7W���_��~^5�@f���s�%Y�rY m����@�W�?i�P�{�:jP�q
+�#_��W���9��AC���^=��@�t����k3j�7]1I���6n�L"_'��,SZ�X6�Bg'My,���&|n����t����PY���Z��[
�+���:D��m���u5�2�j����n�
>��T�����0[�\��)z&�� �U���T����Z�H��Lun��=c��<�7n/��Y���oM����D���z����
��=�q�������}��r�$�g���:��y^2��[�m�������V
jz����-3��U ~��9&8����v_6���N�
U��l�o��Nu�������sr�g��-�)!�����,����u����
D���?^������*��������9�(��v���g{G�^�
>')m�KJ�$}J�&������q�-��\p�47���Kn]@�sI��N
�������@�"[Z�>{������^c)���+��@h����&�d���
e��fAB�c]mjF�- �?�`����I'l��Ln�
uh�k��Pu�d��*!l*K�k����5'3��`
F��pS�f����s��9������g�-����d�� xci(�D~����8����?�0L9�Q�����\��$iy-U]:&�f���Af!��� ������)��1��1�9�!���pj���xJ
��z��Z��i\�m�~6��td �o�ONi(f~H
���w�5�ND�&�S��
�<7R�j�h�z���>Wuo������4�u-�,���*%�no��V%��
��
���q������'����g����u�@�����@9���O�;V�(]u����7�*@)�C�R��*W"M�V=��)��RjV�N��J%�Vi�Jq�����:m�R c�]�mD���:�`��R�|z������i�,q����r����be�V4�/f�)�/�/�U���:V���&-;��:�����
@����{�;��������v1��KT�-����f}q����
���Z��=W���~��m�����9���������M�
b|����6>�y�y�����ays��
Yx�]5O��]}a�|�o�|q~���|b�6�/�l}"MDz���h0�����Vx~^����\�w��ww��;�;�?���:���������
�/����L�4w�P��=���|����Iw{V/j?o���:��s������1Q��Uy���|6���������vbm
��Mu�\w��T�����s�����v��%��-Ib
��gS�B��eH~=�������u;
�1�Vw��N�{�hVjZ�T�k7g��v+e��d�[�����+��^dl���?�
��P
���'������8���^��w0-o��}
�������VWZ�&}����N�tW[��l�%�O����
7�
w�5��x7����+�,Ck
�Z-�qJR�����R�Sa�x!��$ts<l�J��I������
�y
r���}�����6���v��Ku�fR����m[���\l�r�����d����Z��l"���Cp�i��4Z���2��j
�\�j����Ws�Lk�����8��k���z���?
���d�9�_��Q"��5��w����N���i��<��w��+�����b���~��^R�y>�l���4���Np��%�h "j��e�&��0�|�&��M'`�*{
��� .\l�c���+���1��A��Hcv�<��$�rm
�*�����^H����������^P0C,~W��������1<�?�c��n +K~�
�U��{||�wt�������G:Hc
/O;r
mo?��X�i��6<������m+���i�d�t}&�m{���`�X�y<�h����r�u�_����f�9]������u\���������/~y�����q����v�%>��X��>Y�~]j
_Moe�o`~a,��}pxz��������������T9����5��\}��E���_��� ��#���F��
�!��]U��
7��V���i�/�������w���A3��K�%7������v�.�y:����
����BE�
��B���B�'�xQ����~����;z�����g�b���Vl���>��f;-mZ���^
".�EYJ�$����t�NJZ��A�
K�1s��c9�TC;�U�,3,���W��u�no������rE�0�\{�M���h}5��u>�v���QQ7
K��c���z����v���j����_��^�l[_ML��9��8�N�_3�fk���-�U��~KGK�{�,8��u}So��w
�E��5C�V�;g��8���;X��1���pfa�A�p$s8�{������}�Vq����j���Z���k?�Y}b*�CK�����#��<��
����.C�
{���
;��>������+[��7
�u
~����6������8.���������C�;���n�z�`���f��G������2a�����O)��M��V�O���+������]������}4J%"�i{��j������U��g_[���>��f���+W.�=����[7�.����i
���~���sAo��H�
����1�6S�i�%�����:j,���+���t�[p�YN�"���r��������nP������p��t��3�s���Lu�����]�������"��,#��x����{�I:
�V�s��2����+�q�|=J��4�]k�K�3;��W�j��G7@t���\��B�(,m��
����&����X2�-��8$s�����Y�({n����f�_������� �:�v�
��0
��>\?���j�i�[�j�sB{��(��������s �:��>��.��L��p��Cb6��
�/p��l'�������lz�7��7���lN��c���r�����K��v�iUQ $��6DV��u�
C����H�����K��_>�~��i�xw�����/_���<:9�� *|3a�6i����1����� ���+�p�G
M�r��%
LA����1)9�^��n��wkz/����x��A ��2�t����b�C�/�P]�:��h[8A�N8�E��
c<���f�l�3�Uu +AH��G�v�:���X43�
�Q�k�)�����������4+��/���
��O�j��{�����Z��P��;��X��V���V������3�r��%����n��"����v�}C�������0X��|s�s1;� �nl������W�����%���
����o�
R9��
�-p�3p4������,���o1��16���>j�X���y��|e!0U��}�E�b`]�F�B+���
���r5
DC����*���*��w��^���s�,��W
���U���?�U�\��=
����o�T�����d���� ��>�`>��X�
������U�����CR��, ��U�u���j���Hj> Ou������i�~���*����zT����
v�D`?��/����������%�1���Gr�
��[�0�j��0� �^[������7�/�� !bR���o[�c��/��sU�K�M���v|q�}����)��xUw��t������}�MUQB&�N7���^TX�j)Y�P�� �2�W����j��
��������AU����i
���tv������w�?[�R(���y�:��2������n�����CL�y���1*{A=F���1F�����&�z�����^
|�?�Re��G�>
�]&�;Ne����>
�]^���=��bJ��6�
�2��
@CC3�d�Xn'
��z��l�\�q��x4��7���Eq�����>��6���r>,���j��d��oEj��A�5lQ��
��of�?���L[�1�
B
S��`� S'�\�����@%?7���a_��
��U^���=����nN�f��f���im�u�*3
�F
������ ��]\H�Xa����v���i��6�
+�ZV�������E
��r�:mO�r�����g�F���z�G���S����b{z����a�}��#mP�S���o�������a��*<���jR[/�B5�C��^�'�2�ZE���mHl���KfE#�Xqt��oL���B�>��~Z��
�k�
�{�T�5
�o�'ov���!���-���JnwC4���xlRJ�>�c�g�=:D�7ng��
a���;�{��V1��b�������i�������?�/F:Z�Z����"�?-*��;�
$xE��tb��=���2�)t%O�
�M�N3�?|Mt��.����I�:�o���f������0�oFNp�s,�X�YqI�2�E��0�m����<
�m*i��|�0`
�w���~mI�=q��l*�����e6z�����5q��+)��qgo���6wp)���7JXMa�o��;�?{S0�z�.�b�}1�O������������K�b�����L
3DZ?N�����+y �1��I����r&�%���bav�(�HQ�{��u�ny�T�����^#99�[�J��B��3�$�w)�o����_�DI�nb��+�����b*��l���Y@�^�3��9�����Y����\��B���
�� 6vg6Pd�\J��.���*�]-�M������f\���j�
e�w'���������������M��H\��Q�w�6������+K#=��� %?���:>:�=�[U���?�N
D��.��7�Q����+O����v��d�(���tgp��0h�
v�,��0����RRC�6���i<�q����;������A
@����(�(�gl��g��QO����������q�T��:�����e'���B��zF�~E}��g�#
�m�i�b���k����C�q�{���?�����
r�7sO{X����V�^����?n��7J$�����E� u������0�����������^Z{�Z��?�W`��1�W
��-0j�������Mx�]�o��5�j�9����U�B[�44
|�2�{����
V1��_pp�d���?���p��
-�S������[!����>�t�M(c'g0�h�aAB��������!����}A ����Z&����T_���j�����\�E�)�u����?�u���g�Y ��� 1NG���GL��
k
B��:��X�n�n�
m�����
=
J�7��3����
��
����U��z���}�D�a�&���m�@��U�IS�J�����N���r7�Y������-�G��<�����qc�o�����"=f
\�j���ia;`�����@����������{��Z�/�-v��7��?Z��7'���������+�[�C������A�
�/��d�Nk��E��@.�D�4~P�.���kw�>0�l�C�b����z�qBh�D+k;JA[\�������l��7�������Z ��*������p%�N�G!���i@SE�T�T�*��p�pw���w�z��A�Q4�?�dPm(x���3f���o^j�,s�X��[���j(�em z�~����`��>����O~�+ATi�Xh�8*��
��P�4�R�����(��yP�����s!�MsG �O
��R������9������c%"��Y���D�b.Fm
�OYM�6�W2�J�D;����g
���R$�c��1�����@�sY�=`}�\T��>�>>���z
���H����H}�$�a�������%�B�_G�V^!ku�@�f���-���nZ>������^l�H�����I��C��&��p�i���n-��\6�
:���
it�C11�Ra�9�,U`.$��qL�6:0-����D�
�����t�n5�Z���s�nm�|�0����7�@��{�H&"�T��<d@�Xn���y
]�(������������� �����7�
�3�C7����>�u�
d:�� �
Y����k��\��������z���Y��D�������Y�*Q���������.H#V;N��u�N�/ayw�n��V\��T6k��6�f�9}f�N;L���)�����V?�j����vE�����^g��b������ �Q���~cco�i���E��|6��������`
�A3?/*��s�R�tLa�[����]�V$h��b�:37�
����R'L�s�1��V��e���t�����KlZ
>��u�s��T0�yB�b���_
�?%�,�7k8�$���u�GT�K��:@��IY�j��Kz��N^ �u^�9�C^���~�|���J1]V4���v}���}�����B����W�M=��_���^0�*
����-����>-�%���6��M^��z%1)���������+������6@'%��7���U�'��h�k�uMK��&�V��Y�?]v��Sq�z��fW��Jv���
Y����Uk%Et�qw�=��k5��-*��BW��
RfrC9Q?� ,�
�MD0����������Z-�/�UI�k�,�=��:@���O>�f���&�[`����u^=k�����XN�h���~����ml_����
I�`���5�z�3���f��>u�Q�m~���� �+��~�K�Y�������t��hS��c�������ee'�>
�����M�r��eJ�>���Z��� ��%]�������$b�%-�Rg,g
y�����
���Vi���|������zS��7���{��p���3k���$4u�_�q
_�]�V�VbJ�sS�{�����
��w��JN������i�Ssq#�.�9X�*��j�V�:L�\ -����n���}���T�N`�
+��Z���T�������*��������u�4N���H�Z��X�?z�5���7�f1��u��03��M��W���
'��~���[t�)k�)�Ns��������8�����{��3��^--�����
�?���M:����������S���Q7�����
t���S������~v�V�)kn�)kN�)����
X+w���b�Y��{�'~��>���R����U�v��>��L?�rb
���J�) P�������a%�Q���S��C�Z�~^@����
o}c(:J��H��
����a����������%��(�{�.)6��Y��{>�n���U�����������^��������
�����N|��
V]q�������z�o������vO�F����w_d:��N^
�=5
^]�����.{>�����prD]Sr�4��3"}@�������o if:b������j���G[b�J�,z���7��c�k|������h�K�n%�J�?�7��t�
��nZ���5�
����j���E�V,t�?�yO%��{�uc!
^��k�c��}���Z��B�R��1�6k]G������
,!0��
�4k�*�nK���h1��_%�VYD�R��1�uMq$M�6�������$�O����e~��45T� r�SO�O,3�}}����&�Mk�=z*�����S�i�������q�������-� [�)��
�_�n�\-�H�c����n-7�V���^�f�?����(i*��/�(��opU���
��k�u=i9p� H�&������O��
~ut�j�������
hU�@�U��>e" ���p�;�%�Gz�M�<��������LY��.����
d���qR��8�G
���a�6�G���(�>\�6F<���k���k*��z����~�{TWQ�;zuz���I
k|�x*1f��������ku'r��P]R�3!����4��c�u�c��[���9�O�p2�`����������
�����9��g^����J������wy��~������e����F2����U����s��/r�M��-x ��}
"�4 ���
Q�'X ���7�[�d)�/k8�����n�w��` ��
�
.m[������{�������X�]N���M?;����u �f�m}�;e1',�i
d=��QO�R�V��[.�MI�%S�J�U����z\�e�1E6�Z��"�m�
m
���8�?��:����������������w�.��{��N�y-���A��Z�����=�W-��L���1���j��JP
��?��//U1a��U�xt7�@ta�M�
1i���������u��e�_���.^=y`�FXk�s.�����/��nq9����|r�����.���Q����g��A]b��i�X����(�#�],U�.��v.v.ww&;�;�;������;o�����9i�b����-u��v=�~�9��;�n�z�V�����z+7�|,&�:�e~��v��~m�{�c�;��[��t�6��~�]��f`
��mz���oA����b;(�R�v��]f�(T��\[���f�js������
�?"����1�[i��&��N2J*K�Z���]^L����w�
�
0{�����Cx���:P�h=~9����'�1w�������3�~@���|��H��;+=
.��YZ�~k��
�8��$���M����>��Q��w�����o_�
S���u��Q1l��N��3�%�3���X���$N��M�����b&t�x���R����~�{��o��,�����wW�Tei�6������w�<?}s�.X�y}[st��?��;r�GMB����kK��8�I��`.��n[��������Kj�����P�$�>�z��1����C�u��:��qZv�M� �I��_��3&@�vlw��G�nS�
��q�
�x��}W��xg�D
�����,��z�~e�����f�^��{r�����z"�pz_�s�{e�&��Bp�4���p<o���2sl�h��$7�A����w���^</�icN��5� ��t?�3�R
7j
~k��`!�)���?b���L�L����rb}nhj��P�n�$��t��t��������*%#���&���5K��_���1|s;5�������o3��Mw�VxCk��Xz���I#S#^�^$G��9Uu����
O��w43�F�@zw���V`���F#���������
�T����
������������J�@���
��u�zc�|�s�xf9��
~�w�����y�g|+��q�N����g=��
@��uzt��H�nG{_�
�� ��G<��2}��MV60(�Dq{[T�������Ip��qv��������]:�2WJ�g���}{�^M!�L=�q]`������W�'��
��<:���������(���f �=�43�p�9��U5���6����%��R���J��@�uVZ�u��8���,(���)�ibbM��V��NVW�{/���X�$�T�V��X���7�
������K�3�i���6fO�J~��urw�
�n�x!�{��q�|���#�%nu.��Hj�j���Vg���w0�}�F&?�����,b1Kz$
K~{?n� �4xI���������mp6���"T�~
�80i�2
�d���
�
�h!3���SO����^s�_r"
�l>�i�27�i�-�t_��.��m�~�`&�#���n�
�&�i��!.bl�]���VV�'�&�F�)�����`V�
��bl�
E-#}px���������P���"�k]\�AL�H�[��������}3���5�5�p�
���-\��<����#f����
��������[_�b�J�
��k��E����x�+;X���*d0f�E�y)�dVu>��6�7�����v��3{�������:K������Wu�����i��[>?���`����Q�k5o� f]&��]��2��
�u���
�U/��������jo�1�77k�������
����k�#1[�Z��� 5B��b�j�z�GJ�)%*�G�����Q������+++�"@��Q,t����<�7�
1 3�L?s��hUJC_ �R$+^7�
���iCOOk?wdmQ��{I�#�G�D�O�o�����������
���$�;S���`
.A�m-���� ��/�k�ltz���#f,
��
�]���23h3�j
�O���n�s���8+��KZu4;s�uS:�P
-���b��m��P���,�����7-kf���V3_F��2��i�����[��yO��tj�AU�j �=]��k4�����A��q��^����s4����f|��HFN��!gw�/b�g��fwb���wlp�Y��)���
��Y��O�1��s��
1��+�g���:��}��{�}"K�_o��Wf��TUL��G����{���� plr���t����1����c�-\�3�2�����A�_����n�3dM��v�����D*]@j���L�wF%I2;��P���vY���Diq�Y��1W1����K�3�
�4�n}\�W����
��d�������� ��������;������@.��#[
�� ��m���t��/���f
$��Q|���|����z�C���o�s����}�X������I�9�����"����U�K�(si��B����4��%HwO{�_�.J
����������Ps.����-
_����}�*�>��j�� ���?������M$8j6g
�T��-y ��=xq�INGbLT�`R}4.���#
����AHTN�[���XEO��
B(���;���;��w~��
I��t���/��;:�F�c1��`�~ ������/��N�=U�c��C�q ��v���QOh��
�h��K�'�f#0�1jz\rOPFu���m����8���Q�'e���DI��^��On
i.��\5 ��R�AO3���qv��-m ���Hs��z�������;
BaxR���`.��������e@E������������&������Fl��4����-������4v$
>"?���H����-���0��ALDb�@�S��z���QJ�9S��i>���Y����n�a
��D���-�TM�&I�)�������j���/4�b�}Awb
�]�|5y{��#\�7?[�KS�6�����V@�
���r�%�s�D�8%�N�q`�@7G8n�L����X���y�����~u2�w�v������2�����T�2�(�W��
f��?��c
�N]b��� ��$�d���ww�E�an��UL������N<����P�L�nd�����u
���M������[k��
��z^��[�����^�/|*ogb����`�����o�OF/�^�B7�+��u���Gxu
�=;#63|��6��@D��b���IU����
$0ym�c��_<�WY�����������#���^���}�zVfU�<o����hjx6� i2��0�L
?3}s�/5s�
���Q4�l��J
y*s��M��m;����� �=@������FL�|C�|����Sh-�^
B��H�x�=� ��N���7�ZFhN������1����L~��n&��<Ko��O.�`��# H<�+�X�U�&���������L�VW�����;Ihm_��L�e���
����o'`���u�#��/
Y:���3�6og~��I]
4o��0yw��O Q����T���
j�����,O�,p�R�@�W��..f��
�
nob����>���>����E�8z�-�RRICF�O�2�JG�u����+)�0�����|#Qnk��1boZ�,��,����_�������� �������:���:3���17|��x������������6j�
��i�\wh�����R����N�,tz��3����;�����`��>���F}�1XqS���S0�nuMSD���U�D���@��|�`*�'��$~f�2:�q
n,h�: �]�f��Rg��>��g�8�d{������Ts�rd��N���~���3O�"�zk+
�Yh�nK�/�r��d�{w���-r��������5���/���i������������Q��d�q�>�fj�-�h�%Xv��u�C
��kF�
&��� �N���{S�����|�n�����g�
��]�\�s���:>�������4�
�u&�Y�J��<��i���2��Ox~�tz�r��w�'av7�(�
k�}�������@E���?[rUZ��_B�����6�%�Z`
t1��&o��U����
�����5�
v���<7.C��U�/�ZOh=_*�|p�g�<����<�:��n���kO�*^��8���L�?���A] ��`�+`
�P'����
����x��<(,����H��I
����.� �9�l��X-��1x������pv�}����o�Z����eN�������o�[�"����w������Rw��!p�(��:n<:�/���W���i���tmy����'��� U�O\�4�~���C�I$�Q��'V���p�}?�
����h��{KO�w���<��I4�ik
N��J��wu��n=�m�z�?y\��V����O�;�u��WlSl5U�����jw�P��#���*����g�
�
�
<�|[����2�����(s����J7�x/��K�RSc�������i�)Sk��{��#U�;O3T��i��[:���-��
��_@ E����c-
f)Xo!g���.M���
�N��p5������=_�'�S��������"��l��^����4�Ot��\����%U\�m�Ku���,m�/Z��;3��%�c�bT����{��jd����<@}]�)�@u �Q���Z���V�����s2�H�nx���U� l�n���
��W����BK�4�'=���,���TP�FW������Az�a�&���Hp^>���z��?�.�w�@Yk�) ����^*�UaM:
�T����
�Lo����z��!Nk���g'/G/�^�N��F�J��gzE�
��9�y����
������@LF
�_��u�B���/� ��D��9/5����Ok ���a���q}k��q�w�n�X{���
����g�0
��.?;gM��D5��zT�9M��n���%�XP�R��NL
������mq�
K?]�y�
����\7�s��v��6�
k�RkYP�}�sS�$@ ���
������0�����%lf:�M�'&��-�L/�����$���q�����k]>G��{%\s�{I����m^YLj�e��2)L�- ��~���kq\(��vIA�o5<j��w�H��s������f��'�
O�wJ�fr����f[��(]
�.�[ +4���Y�l�W���/�B!�%[n�:
_��}K������'O7+ �7����+�[u]�*�P5g�J��z���L�Ks�X�n���+iu\���m �����n����WzY�m��%�����F�34%1�����EJ�7j�Od2��Nr��@
W�������c ����o���l/���9Bk����Q�>����8����>���&��
��#;�<
[=���'�]
�6gx���K �y>��
���s�!��%���t��/�5����r��r��f��P�xd����'N��&:"��h�)(
KVT�������.SU�dITM�tr=���/�*�� �'P�2�L�-����m���6|?p��
o���m��G�:�Vh���OZ��g���>9��,��}��}���
���v`t���
C�.���������n&_9����v�mRg�����QW-���(gCF��V:T��[}���������*�O��|�]�+C����*��i;'{*��z�6�
���\���f,l��Y2�%+xj�cf�z�_���^)#��R�2��lut�3���?���'��n�#q�k�s>���&)��� <��o���
���ct/v��*}�k ,����
p
���+����DUZ�3v�V
�$fN+�Xuw��{�t;�����m�[t����O���Ez>mC�o%3�muG�/_
}���x�J_��R��Rwe���fN�����T���|�d�a��\���Tj�
��f�F]c��4����h]��
��k��frw���f�vr�V
�%O1�J�,���]=��2=�����]�����/v8�"\�
Z���^YY�a��5�zu��C���[A~�*��n���)��*:;:�6�II��b�o��n�Q�L���hC�3#�:�(=�>?���p�
�l�txe�f���~q_xeg�vh� �D�y��4���Z"M���i�rw5��� �v==�y��cZ?e6|��
�_�c~A�^Y������/�����d22h���qfn�B
�/���'���k�J!ea�����^�E#���d�Ke����W�g�W�/��}v�i������tU�J�5��w���
6��A���
I
]�����J/�z}�Xk��I�-U�:�����V����OF�+E��{y� $��z�\�k�������CP�]�^��jU�;��F����AKk���������qO<1��'��Wf���b�7k��8�+{�):��g��V�����X=�����x��
7���m��_smD�1~dG5��-K�4�/)�-��8F��J/��������o@����Jmf=
b���
E�zU!
F �
��RF��[�GHS�F?�����r�E��&
d���A����N�
�-w�g�����������H#����V)�z.���������iQ
�5T�xCg�'�KK`iEV����X<,��k�L�
*9���
"��9d2���Ngj�����
���-E4�!!����g�R���g�i�<��<?�%�����[ �i�����i�������f��j���
���U�U����D�T#i���0������4=�0a.��Q����W�����PU=;���#{�Q�d�����Q}�
�L�J/]��7����
�����jW7��z����d���?7jI�i�X[p2�91�][�n��&�^F��U[���7�
J��3 f�u�����
�{���
W�f��P���E
~c)�����
?nlt���?������0�Ik`�����������"�O>�
�K�����ac�H*�4��#[��5��Q���dmhj�m���L�,6��J��P��Lo��{���'�`�V��n
X�d���������������V~��^�qLm���2K�:?��l��8��m��vk�y
�6��6����LJ��P���U���y����X}SU���j
��y9���b\5'8��s�\������Sq��JE��M�(��{G7b��3����.^�1� ����� ��
� K�E�
�:�_2Q��2g�YO���Ie���6o��Y
�W�r�r�+�T�
�w<?�J����>n����=����I[����YQ7��g��u�(r�E
��o����
�5��_�
T[#�����@��x)Wo&#
L�S����Tu�XF5?4���k��������l�>������'W}������4E�5�H@O�+f�ini.�
�*���?�[�4p�����o��5������
���=��i�OZ�����VYP���j�l���3]��|����
Y]~���8���&|����'�����H����+V������� ����=x��d���m.��@�f��0������$tCE�L��3���>�R�{�@�_�]zKjUG�
=gu���r�bY�?� ����(��]y�S�*$���I[D�{ ��
�� ��"��NjDJ��V�>��i��?�����5����>���[�%f�B��4���e����%C��������w����F�������X�^���v������p��5
c���S�����������t
����V����=��V:����S�T��a�����zGL�RGo�|<������t�E�
���X� ��w��q�).X��t]�&'}b���V�k��c���+;�����6��3o{�~�3���_u/�j!d
�z7>I/3���s����r|�4�Zb5��n�`��������<��{
����� ��2��vV#�j�n'$�fm�gWP�v�\Cx`<ZTX@\��T��������9"F4���}��P�/�[�������Q���j��tl��6���k%�V\��O[cwp��-�%�,��M_��:��y�L��LS`^,����up��#��p���;5��kz�J��/�����+!��P��&�JEj�R]�����0zIM���~�<���qZ7w�p��c$�Y�k���Frq��Wf��y��W����tV�:zl=t=a3�&?�ZA|�A���r�
lWWmy� �����r3����i�5�$���o�M���/+�5��:��u�[��b��v��7�4�U���A�}�L���%p�Y�h� ��I���nd�M
[�u��`�/x��u����W����%x}�c��uey�^�����|�oE�_}�Y)������E&��Y
���'\v����\o���v�@����2�V.�����?����~Z?
o�i���:"K��:�7�;5�0k���8b���:��{;����M�
$uG
��BLu�N@g��4�H,���e��������w�b< C
P�^�C�(�y�d���Oo���4y1<�y�e�#�Lu��*U��
�����I�������n���_��;��|����F��p�=���p���t�K�
���0��Uyq#��k��`�'�`�_�X��p:���lm����/���R���gs�6x
�17�$i:�V�d����U�1���w�
]V�eu�����-���P ��j�� $����~��
_��g�>!���>[�����u�E[��������%����_�+HlC�����+��������1T���k0 ��Y��m<~q�{��O
�+��ga����S]{����E����U��1Pi~A=�����i���������������X]�\3.c����U��r0���6���Q��4xP��V���?��������0}YZ���WsJ\{A��e��
�.��G-~���"�-�z{z+%������V��IA���v�r��x&>I)z���|�I<Ox���Z���
"r}�n�/��@}i&�Q���6Y�
��;�(���h�{.���6��6X��v�ejx��N����W�-��w�vG{G''�����?���O
�T
�����n�Mz���3����k j�}k�b2����<�,�k���7�=����h���,6��Od��&r�I�1'�O���u�E��@i��~�q���m���0K�|������@���I
��j�'���5������4CX�1&��V������+�g�M���>.�>�0���>�������Gzu���h���������}F}��T-��P�H
uW�n���[i�~��u�1�,���a
]qR?
<���U/�������V7Z;��� ,u�?����J�_����h�V��[����$.[_�[/wO�>�s����������7=���
��U�F��l�p��.� � �8���1��������?�W����<W�Ez�69�����`���� �_��&������?�Ms�O�GG���RD�!%���H\�c�;�s=��./�W;��C�rC%�����IM�XU����h2
`�^oi
,}5�
��]UE��)��q�M�+�
7�S����`�����Yv�x af�������3��c|�v�������^nK'#?q����/�
�~T�?�|[�<k
��b�0���+^���IX��w��Vn2/�l�e5Y�u��H /�=@@�0���k�V_�MNrZo�/byZ;�v�
���K�v�}&N�".��/)�M���|�m�����-���T%�z�����T�J�B���,iW�� ��}U�k�Jd��Mm
&Z�R���g���+�_>i���m�?l~����
������<�?�%j�<����Z�y����[�{�h�9�0������%�V���^?~�TYqm��y�Zb�L�>�����s�+��E���_��Z4v���H��~~�<��o����?
������|�HD)���g/O�����PRf��BP��.{Q�[�
�ma,c��r��N��DH�V���u�1��)��D��!-_�����S 'eU��m�:{������m��vz������
�[:��=@���wL /�k'��f��hg����
���z�����WM.�z��|Y2���d� ����g�/��^�7�!��S�i�>F{N�H���46��Zo����>��f����>C
< ����:���w����}9��"�������)
���"}�i"�R�����"�ff�KL�Vf��yD1�cm
2�7�����Jb@�����Fr�0� o64�
���;�f����
V���������3�W������Vf��
�L�R���+���jv��
��{��~�����O
M�>�
���4�7�ve@�w��@M`F�����AfJTKZ-3�z�?� �S�o�oZG@�mLu}�Ku9�
zh%�a6�Lt����^���
��\t�\��Uy����~�Z��0���s#�Z�[�
L��A_�s�z�"�)7�4���n=�M��� Xy�-��^�.���?
o?���5�������t`���94�{e�
��S�Zc4I}O��q�=���I���&k(���D��
b�6�X
f������������4w��O����[���c�k� ��y�?o����s��
U
�u�������d�
���^S�^��Z�?��o��{��
� �:3�
D�;��
2�4�
^��d�T����^�T��D ���E/�-~���������V�Iz���������0N"������$H�d����}�\�_�H:�c��$�v|I
:�#k���O�8��N^ ����o�������oO_������?9���X�H0���7���p��X�L������
q��b�#��r�1���o�pY���
_UB�I�9 !OJ7���X@sF��9W�L<!�
�D�"_��e���O�n�>�:��|,Q��wr#�!IFiI����7�kl �V���
;Q��`_�
>�/�\O�k /�X��<w7�
>9��G�|�Y;��f�$
r'-�t{;���P��;��``��� ��+ '\y�
���P��%�s�P�������f������������������/���t\�������Yk���>;�vw���W�m���{�������#�����}��U����~f.�
U&� ��(��I]{v���6k��\�W �+��f��+������z$=w�������s������_���2 @�� Y�����"�*��]�Lv�����'���$�_2����t�K=�:
�� ��'k4�T�Y�7�)�UWO�xf�� {���>����[�!�rE��z��b��h)I��LYt��J�
�
iR�a2��B��a��.g���R���*
o)"?���Hz�Z<t����Nvw���AB�� �:c����
�Y��N��\�9���y1?�^��\�s���0���#)����j���
Y���|w
��*����
t�K[��(Ui9�Ro�{H������������l��������uzl�����_Y`k��N���?����W_����l4�TV^�`�/3����?�����,
m��0)\�,]��(V8�Q���E��fe��~����A�l?��K���
��/��
/J�2Ti�2�
?/ +�+s����(='t��T���j������{}cY���;~����N�h�����4�}fA'q�5���I�������3����o��S�S����i�N�gi�d.�n��v����d�
�b��y��Q�DYfA��a�f^��y�9A�GYl�6��Jp����\9I�R�+��sb^Y���]<�) _\#�*�����,�=��J?����,�C ��{~Vf^�y���4Mr��o��� �$��S)\��
��+\d��v���
��S��J��
�8�"��
��2/L=?�J
��y�b�PV�e����Is<��<�UzE����`"Y����������������|��mO�>)8�,,U
a���IU
di�%e��x
��E��
FA�(/�/��[�A
��*/�$uB���Ck�%N�v�"�_YQ�a ����VE��
�"��4����NV���$~��e�%�e��N���0
��A
�(�o����L�q��A��1�Y��b���
���� �CF*�I��"��8���b
�8��:�������8A� �L��,3 '��a�T��)���[b��Ly���AR��^� f~��a�-�<;���������SX�<*]��&�0|������Ks7pK�`C'��4�
/��(
�)�`N���������
�(lN.���%^�q��J�X�$�s��0�0,���<��Oq}�a��+�<��2�7H-���x���n��~�D� ���;�aq�p}
�I�.��� _�+]��w���&~����)�"��R�6���
�Z6�+����.����*X-������
��s����T�h;9�4e�IP��
�w�>x�On��
��r���|r��i���Q��T��6�)"�
'����/,l��4��)�.����)���c��h���vn�b�D�
<�
�6�0�q�� s�$Z���`[][���{���iAN�fMR�C����
X�8t=�(U.�p,���M�4uqW��S~yi�~��.�(w#�>o�Pe`G��� �1F��%�@PW����^�3��E�eN�\%`x1�5M�X� �4�0IZ����8[+!
@�����W,���$qKN
���y���)�
��=�
�q��sR�4�}����P�#��0+��[��Ms���C���ppp���@��'�����(��S�p�0��"LB;S^*��HAZ�^
������OT@��<U��y�b^N�a��h�y:
����N�k�����/�
�����G
s�A� �0�
��0���ppl���r�o�V�A��������@Je�n �]h! ����D�^a�9.�|��uJ��!��
=�
9x��b���|�
�]��CrB�+7���/sRy$�9���qH�$��H��H)+�&���5�R.��@\CT��-~�B�����\`�RE����X�
����� b�]!�j������0��
��W�r�"'��IF���Bj%�`N8Nd^ ��3
����3P
�/��
���D�`D�n�U��68vi���q�x������� $ y
�;��
��c�D!��I�!^�����X��N!�B��C
a�q2
D��9�Hes
J�D���L��0K��\u�E^��6xV��p����p����YN�,�p>|P=�_��C|����pR���m���[\I��
�G1�c
�,tp��kiB@���!�\ k
P�@d98
�f��\���^�-)r0��(���!���6NY��E
��@�U����mp
\
;`���3l*v%,#��H���}�)pA,38A
�v���A��a:8w���2�O)J�����B ;�8!���c0��'f��$p�gp ��}�<^���X0p��"��+�(�oj.$
�'�g�@���2I��L��gNYF[��@�xO �%qe|�</n���r�����
�6�X����3�/q3��
�
� �c�1 ���;��,�I�0�<��� `6`dV 1�81���(04R��P)�N �
<3K{�w�{`s�*`��p�x�@z�
��C
�+��R%�JE
�sM��#���0K�
0Zy
�.�
|7�x���l�,�.y!���}����(���R�M�"\'���
j�L"P��tq@+
,� 0p(��
p��< +
��y ]@��J Np�,T�����N!���*����s��-G
C����"�
���������*B�������:0m�
06��pD�8��]�^3�C
;8�8�^@S��&�TY� .8�`8�v)v$���V��\��
�
H$��qu�,�n.�%~c�1�<�s�"q������
y.��:���
�H�f@`H0o@C`
�:���B��c���`:�V,"�f
�
���A�CH��IiS�;x,
�@n��@��K�A��`\E.D�����\@�`@�8\6�
�7H�"�����+�+"0} ��
���!IR
Ep;`:x
�7�RN
3����j�fRIJ%&%9�#)����pH���N���@&N"��H�
��r`n(te]
�����@o�2�v:(����J7�b0�K�b�EiC������]0
�h���B;� �������{6�((P�B�~6�M�l��
����{)0�TD,DI�-
��?mV��^B�(��V
G�'
�{������)�
=#�!R�|��
%(
H [������}.� �8�o�* �J�_����h/H*����4��
�?�
��<
P��T�@�I
}���h�2D�0}X�TEgM�'G
?���`��<�
6�h
*jL
��}L
�0V�
�&��<-�p��p�'����P
!��(�C3��i8��*�9����
1
@d�����G���*���oP��#|�
e�����D�����j������(�K?���[��w�s�T!�
����a ��a-�26� ���Td=
X�T�0* �
�\�S��P.9N�S���fS�i��@����-�u��
�����M
����������X�b�t�
�OF%�� �Qk�P�r�!h��>VLA���Ry$���-��`�N���q"]�(*�
� @q
�9(
���������1���`���
�b���,-�b�8��T�*Pq����!�"�9@
�2w��
wh��}�e�bl��(`�����'�b �
o
<�q������B6$2�����
9�n
\�0�
�0!;�����C��(�!q���A# v
>
�18m�;yP
�����������#m[��v�!�v)6`*�
����@�� �Ax��������q���8>VZ�a\
9P�)�h�KE4P
��c�5��0I�� �l*a
��;$'j>�|
� ��(f����
�x�6��kQ������K����zB�������.�`H 6#����C���S�Es4� "e�i�yP�#�����C�
+����
�9�Yw���%�M��A��)f�V��V'�(���| �(x�Ca��6;�4;����7dW ��C����@��f'���D�=�3h�i]Z���@�!�W�{��
,(,
1E�
M\>����<(�
�� �:
,V
����A�@��-��
q����%f`(�0h+@(�x��'��� �2����#���-0/�O�(�!$P���;8���
Z��r*���>��u'�
���
�,&����c =(�"���%h��
� (�1�_����
�:7�H�6�
����, K7
q�A���x
4�PH!�K�w���0������A��A��v�`�`o�X�\,
�����d
�:M .N30H-
��P�&���c�!X!���q�CZ���6�
�P��� |�N��EA`m6`%h\;���C'�RC��!UZP��Xe�?��C�J0 �N
�������iJ�*
�m�n��dt�h��r� KH��{�X5�2�K ���� ���U�,�!0R��Sr
H��� �}��x���"�cZR���b�!�
Z`N��+�G�� \ f���X�p�g��O��"��CZ�h@#����M!i���x?O��!@,N��x
�J��q�����������MG��+��`�������u ���s�K�
.h ��
�0u
wL
*1��4�@y��&X ����%���S��� 9p�J;��d4�B�EPw! �I�(���0�G-x�U�6������m ^p�#����GX��@n�^Z9�6Mhp�5���CD�$ �����E�$��L����E��8'�� ���������!\ lp�jmH�W`����
�'6
����
�
�(�2@�. &i�T�Q��
�A^*���9 �F'-V�>�����#��)@HP�
�`
PV�'�E�)\��+�����t�\���R��}��A�e��A���N=�3�_�K���
��x����A���S������,'|��������
>9�P*
���e&�+ �����:�*����B�1�
Ex�0S!`N*�@�`��
P:��������
� �r����W<��G����T�d3�;QS� ""�@�c�>��bN7��z)4�
�������$ ���j�R�V�O$
��C< 0
������PI)�Yg�3P`�, ]��M�9�
��
���jD����yTR�����f��=�FAk�������yL���n`3J�R�
B�9b�I�� "��f�c�I�����=L=��F�f`�(p�G{
�(�uq��H���b��p\��D��EB;��K�A@�\���s�AY�f��
\�5
�2�A�9`�C�~����E��@?�'I�Q��tY��%f��;lqD�
�
�>m�����^��� [��Qd9%��6b��7
=�H
EHJq�@Y���S(E���G�L�����>�p�
G�n� e�Yb��=�G�l��9���'����}�Eh7�^
�Pnh�t������8%!�
R��<?S6��!�JAr`
��
�9
�a�*9�m���Wl���)�0jN
��;th��@���y.��
��r�LwH�h��� �� ��
\
� ;��cm���D�i�G��YUYz�bxNNH�"m/146N
g�����v�a-��G�W��2���
�������!�i��=*LB�[���'����q�h0G�j�s��/B
3���t������9�P�q�@���c�=�3��eZ��$`�B�wCm������V�
B��
��$) �q�3��k��
�p�M
�����
y�gP
E�h6�����I�d%�
[�����)���~�Z�@D
~w�0�Xx��Z5@H�}
���=����.�F�~ASt��Uf� �
PDP�b�16F����U
�/+�
���6��b3�� �
+�� ����
���
(��*��
�(@?�L�I���8���tt)l\��h]�FTp���H .��8�l�s�&A5
����A�G�� N>�$�2d4m�&]:)��%����\e�!��PB�i@ C����*�-���~(��=as���A�����@�����U�8�\�}L���/<*�'A�8
0� �R�G�
�fp(�%��gC��*�-���b�? ��C�����V�6�B
_7M��@���s"�q8@���t);9`F�4*`A�"'0[d� ���������N�8���
�A�����@pb����H!��19)�s�ts|;���!��k���k @dS���h�sb�YA ���� �(�d����a�%�~�A@��TQ����M�g���UI�[
��G�� ^�����~��s��\p���+��
zC �f @]I6�T�U��jl@���C� ��C��t&��B��t
�b�|#��$��Q1��Kc^,��/i��R�Y���j@V��N�Dn ��
-�!��� -��'2�1��;����T�$�Pz2:�������!� ���tb�����������ch�"H
\�����`T���
������oL�v������O��#
�1di@� � �*SZ������ V]r� ��)2J�+Z�]�h!��$D�o��M)�M
���1�WQ
G���
��������F�
'
'",�d���h����Zc��&+��ET�CB���G'"�
��b.��U
� $L�d���g�� ��������9�d�3*3�2�10`�-����WH<�� %�:��@
�t(��+� ��(��l�
�]�f���(�5�/�qt��)�dL�~�=Ji>Dw�h���Fr�/"�5���vuh�P���]�A��](Z�2+��x��G��$sr*
%�~����AZ1����������
��sBm�H
���w�Z�p�s���D:�yJVQJ@���7C����Bl��^�S
�H|�%\ ��x �r�o�Vl��!]��,��N0�[�N��u
�C#RJp B�F��1ME9���A��
h�8�h�����u6�'$[Jo�+G��"�fc�i���R�!P���n^������p&@�
l s� ��l���������/b�Nx�����D9� �a*���AIe<��q��q~�
TLoy^Z*2��'���HE ��
T#���'@�
Gt�a|`���c ���S����w$=B�0� �R�DU4�N��������@)����X
�9�pl �N��*��,�MT�J���k����t��
���������� )�|7I)]��H��S��S`l6�� ��H&'���!��e�y� \
�k.X6�7d��G���`��!�?�����/�7+�,��]��'
��~
�h9��������s��2� ���q��v�fZQA���`�� �$L?��"O��/���5!�i�^t_0o�c���
�0<!���/�Xh�`yx7`��d��S�3T���V�.��A�@����C�L2�4��3�+�?�t{���{31�)�J��>`{��4�i���K��t2T
��A��f�
��(�+���>8\�k���<�LAt���P�S2tOqs�`��J�P��WAAf����
2�~
S�1pn�`����<(�T4e '�&#!
R�������Q
��8�.O(�%%:�h�
<�I��R��Bp1@a��(��J���P(��J:\1)����
�`� �.00
�M�9=1�h��
�-
�P�K
�y�
(�<;���@����T�����2�nkz�J�"���vz����!�1XURL�1����� ��i��W�|�v� Z�� �6R�Eg-�
9t��iSK{�1j��
1m��-���
Z��q3�.`H�
T�x
��{t��d�e���o��b�
5 2R[�����8�vC���`�
|!2��A[���:BK*�U%���8
hB����%BNUpO�s�h�����m����� ����d�&AZ��q�1�8J�b�
��`�p3J���> o�S8����zP��0p\
1P6�-�>��
�~
�U��K
�d����
�(��+�)��.��>���pV��
Kf�8`���S�
���VX��)�GCM���`���������h��
J5�2.
���ib%�8����@���9��u
�E�4������4@�v(�I�����g�-f��K$��.�s�
�~�^B�w���K@�
@��*�-����8�)(��1yE�
[���r�����~�D�V�R%�����Y@$����]r��A'��1�j N
h��&�/�Qr}`�JT(h{�5�q�����k�T2|��2X,2&���,�Q
7�^8t��Np
���!#�R��������gT�W\^'PP���
g����`��!s0!|�Gb/#�!<
�3:�mp���
��.�0(�����A��O�����p��p�\�#�~FC���v�@5(������� JI^`�mH6��wNJ zC�����}(��Q:���7e��0q�����A��p�H��
P#��NB�K�c��x3�d7�d��L������0B��1������%�����b8e�VZBO�/���d�0.������ c= �
lP��`�x6�
�� e���61��Tx�G��)�3F���
��@Z�S��F��`Y��Qqtr�5���3qh���@G���Q)�����4���@-�+��3�m�/��d�^6�
Y
�*(8�����>��p�} �b
�Y��m�Q���?L��
�]Bp0j)���N�$SM��\#�����g8�
x�B����q/��@ `�@
N�V�:��n���������B�1DTa�(3D���4P�]CZbR)���C![�!�;f"����1|����AI�b��g�
�_�p��)�����W�KZSqQQFq����b*T
C�Blx�8��j��
���!�3�;�n��L�� �h��B�?h��q
���~�|�X
en�
y �.�Y0K �
�!MK��R�����
�IN�����q������@ !�8
�.�
:8f��?�*���@�x $n�������"pz3|��
R�� ���������S�2p���)*�0���m:&=C@���NJ�R%��;S��%�o1K���C������-��@��������x�� �O
���#Z�~�
�h`.�xP�
(`����D������=�w�u�/�w�
���J
Y�
�+�^�k��x
< ��������4��
������!5h��N����;e�Q�Y����d�I����)�����8�#<�%$�R��yt���1���G�v�`��
��HI�d���V�@�$���x�e>4_��b`��b�� ��8f�8f��]�p
����x6$���+��@�
�j����+����c��
�"
��Q�0�;Eoc�A��t l��)R����KJ/K�C�p�=�P �Bc����X��D8����Q��2���1�XY`~�4� �
��C�a��
�
L
����
6��$��x��(f!�{��������@'Q����1����c0���sX1���@!)�� Q3���@�@�9����a1K���5��^����c��9FU�
��+\l�
�V>D������
0����7�����90m���
����
%���c :rP�t�z������&��V���� ����t�~Z�yd;���� ,�U;���L�!�Q���RC&Nf49z��
��� ��)I������R
� 2^�gP7@��^\����]���Xc�h�M ,�N
��Gt�Y���hE mh����������`��`��`�
tbf_
X��*
!��B�{��e"`J8M6s�bz�qZq��l��A'��>�X@<���x`��k(j��X�4�rt2�A����[
@P2����La�>���~J�`
x�n����1*k�2E&u�t���ug��M���/(�������jy1bD�� ( �����lf�B�����J��
�N�����t�Un��b\2��H=H�
�����T$y��_��!5;�j�;%z����7��������1���s
��5
5������o�����C?�*�L:��2��+�b i����v�N����8[eIk{L�>�)������
����Ch�4x�I m$����0 %MB�� R;�����������S�_^@9�3@5��P)N(���n,�XP#E;����L��0�L���3'���,�l.�
F3��'����@�.���e�%�C#R@��L����AH=@\�AS�
J'���Q��� ��A�r
��*,����
i�
)�e�\�F�d��
�������P�Jd����
�8f�/���,�*C?��c�z�E���Lfp����bl�<e�(ppSa3��
��OK=��Xg_�TGC&\�k*��}� 1'r �
�
E��T��v���V��}�&�B�
A�g�,)� A�����q���$��8sT���mLh�:��B��6�[C% ����1���S`Fz>}�
��J�_����C�8f6�
�R�� �
�xLA}�`�M�A�Y��� M�
��,BV�l
���xPc3� ���
�G<��au�
�
�m���hb$^�V�[�d*8�GG���L(V�F�����1����q
�0h'�|���W�Tuh�f��$0e���(�0�;
�Y6
����*:�J��Pj����'
�(P�A�8 ���/�s
7�%�(�\#lr���b=��m
_��a �H[
�:�Ke���
�
���.��1� �nHO
F!�q=F�n-���2���vXZP�c���!/�*��Soc�
8)t�|�
u��
��#N^N��KO5�6x8�a
�*�MU$
�<L
{u��
�'f>�)`<
e��AK���;�J�����q�� �4��%=c8�i
�.�x���8M~@�| [\6 �aft�%����%C�����X��E6��T��
�It�M.c��p"
�7�������/��D�����t�[��W8
��r��*�%�
� ��}�,
�N���-�9�0O@�T��D �����B
d4���$%��.oq!�!
]_BS)Y|��.�s�a"@�B�`ql�sz���F�13�I����P _��
�����B�r1�BR#�c�WC�D
T���64����I�
�22�����
�1����d@+a���Z���B
Jl�
��9i1Crs�\��
���16��
�Q�Pk��@��-�` �2!��C&E1���
�g�r'�N��A�1���q X+S��L*V���C������>��0�����
�-#%R)����,1qPRlX�;�����DR1 �]�/��A �q�Ys�u����b Y��u�9�8�
�
�u� d~3Um��\#f�%���e���
5�-�
b3�o�gx4�,b{/�##�x�d��V�[
��������A^#�)y���'?-!��!�t���2�R@dg,3�o#[r��g�x�^V�LH`(��A��F-c��
>H��b���U��u�W�{A��H�e�1+�X��U��(������Q����f�BI�L�v
��cf8�b�ri
����S�l3g\�����XW�o~��o]�
4�(��r< 9�P�1���c�z����B������ !��0n*s@�9�>63QS�efo���D�!=>�1��q�b�o�G�`PvJ���`2,��9�T�!�b�9Y�l��j#P�
��� � ����!&r��@�aP�Y,�����o���[h+g)(QPj�W>�H"���������I �V�!f5��f�".���
3�|��
�+�J����d��\H-����]����J���N�C�
���<���
�]+z�����NI�g w�%s���J��1�p��S���A��_Z��nu
ur*� (
t}���SB[$7OP0��"�`�^� �@�}M�$ X.E �hM��<��� #W��� zP_� �N���V���
3Rp� � ?}��M��8�q���@��b�4���
,2/hJ��f
6p����n���$L
}6��� B� ����.;f��2B��;� :TQ*�f7`AP��8!����x9
k�5���4^�WY0�*��8���JB'&I��2B� p�13V���W����F���Pg9�qZ��r8
��{[��
���3B��@E�l ��JY�
/����D��X�2�}�����B3I���^)�T ��R��
��Ac�
��`��:A3q��
0���4��5�����D@��� �}���d�G"V��|r�b�Eg+�%h ^
Y�Xq�����T rV���i�
{L���u��"�!��!6
�0��G����TY���B2�x?$c��J3��f.f��u�O F�Iq)�P�,+������Ncr�����f ���
�G[a���,@k��1��za���Cy
8=�lB�2c*��|��b�r�e���CX��d��cr��bc
V(��d.f�@%��~���`F%� ��h�
�C�Y�������e�f9 �rE�F*~��e
Xy������� 5J(�*���q[X�����X�|4c��O�2�C�\:3�@��)�`?M���X"��E`����i�2��
Y�&��rJ�5�{d3������G`,
�w��L���@����h� �fF{^��1Y&b(��9�������p?��2`<\��`��
n�c*� @�d���>�b��0��:�#Pj�P`�KBd�IJ ����
��)�3�l�0��� �� ,��H�����d���@-���
�P�$!5c !�����L���a��/AjJ�Q���t��K����d��
��Et\�!�~z�O#���bV��A21
,�R�8�r�>��l�H( �
��>O
PqdKeh\8�1�(�
������I f����t��0��fTTA
��0��L
���8�t�����'�[�h8���&�7�c���hO����bZ�K�#)�B,�f��Cw�c�
sz"����p���
�����D�p���Br��
��@(P
�"�������K� 1n1��B��1�j��hp�M � }�6V�(}(�
O�C{�
5������g8<
s�k/`�h�����V��P�Sb��'���b }'fLK��G��wH��[��uqq
�>`?��*�Ey3���M�R i�*�p��@��L^�tQ!(�\��h3s���F?hd/uZl�� �eSf������+�?F>@cK�xY���0V>`2&��A�?`�5
�X1:��g���4d�&b�b��/(�22��h��
XP����g$.������T��%�
�>
6�9���&k��
AP�"y����@��@����6cIS,b��ge�0���
N}J�%Sq3��C��2
�0d�
�Z0�;�A�0�"
��
�[b� ���S2���(Y9%����
���1������g""a�oDg\Hx��W��+��*@�wivg4,�����D��Yy�9� �ag&y2H��Rp��
%��l�
��� C�����
�K�@=�
kZ��
�1%g`c�.0]�`,+�
�`�
sb<0]��#������O�A�z@������
���:'���')���1>g/�Q8.����XK!��Aac�"p����l����
�h� c�!l@
!O@��*���%" c"4Nk�3��g������Xh
���@GQ���|�q�C74�*|�g�
���U�d
�v���S(�"�������(
Vb�P
�
����_���� ck��<!�A��Q��,)�L�,c��wG������yq�w��3�u����i��J@w�>��_P�Y���>��e���I�d
3��eP��w}p����4���J�0����v d�S���g�)�H��,F�
B|
�)AC�f� �����eVT���0y�S��C=� $�c�i�6m,���
��
i����9#x|�0�� ��
��@Q�Jx���^���*��f��
J�D,�w�����F��3x����"�l�!.� P}�K�����L;p���
� bg�
Ui���Y���k���Dj�b�RV���,��h����I��9��`��"6K
)F����
�bZ8 �����
���� {rXg4�3Mg�g�?�-��
�`�O�B��W����+bYN
g�3d�x���0�v1/��di��|d�"4�v'��
��u!��hb������+��9�5<6�~:�K����t*��0���
�@�
dH�����d��jX�
03-�����1L@DA$2�3_���Wa�Nv��7:
�O������ "p�q��a�
��<H�2IH��F��n�Q?,�:�@�k��
�DR ��H:DHM�(��bL��
�
4����-�O_&d.�,
x���8��?*��'@��2�]�#���c.��f�%�:V��vK��0����1�q%�%e����L�V'/XP���a�,�Bde�2���P��
S�L������U�]�>�m����i��TV�������
������L+Pq �
��0p��oR��y �c�j8
��3v/N��8L�m�y
��� AR�P{s��@� *�c��G�H 6k/0���q�4���=Z"a������,�SN�y��T�=�=��?De��AY��������4����"XI������2�`�:(Xq
�&b�$�qr�
|���� �-��k�`�6}N4�(��N��Ww��IFP`�C�����|��
��A+s������J�k
J���wQ�s���hfP���x��G�2��X
��d�:t����q3'���`yG:S��������-�amJf�q*Xr;:(
�q������!�la�>E�\�D�$d���`�w�SR��
7a
�'�R�y�\k^�����R����u�X_8c�-��6D
!�Q��erd
BC�~�DKL�!
^Yz�X
N3a�}�1�6-]�tb�`P4~!�
F��
���)��E�B����^b��b1v�TJ!�Oh����Nrj6�tiA��hc�q�=��
��j
�cC�d?��9 ���1���,]��
J`
]�,��.ka@����,�����&���m�?�HL�(1l
(&�~�U��Q�����B�cE
�w��HfD����\'�(%=�����!�%d\Z�qY:��/��<L�mVX�#��9.t�/�V�:�RXS(�Y�*�/n��$��P#
�
��
�n�tz��(�
��X8�h��f%�+�P�
��#��v�I�ff�%3�,���a�>S� �(���2-
�&����
��+X�8]
'b�� ��
�"�ai���D`J!
��@&��
���nB��W�_�������m���2�
����##g����<��
C,�B��:!k11����
���� �4qA�+0E��X���Jc�]y������C�dkS�pe�4����;��e5
��
2l���6*��g���ZC���2�X���J�0�{���\1;3��f>?�n���t�;�XGP��a�R8,63C��
J_,�Z�� �(g}�2
���@�P!�4@�,�������2.
�%�q�\�3��^�_`P�GK���H�������CFm3���!
�^(}��>�IY
����4����@K�% �����l����X�
\Q��SI�&)��n&��l��?d.8�l`zP:�:x�
c�%y}�� `�R����� PC�r�
1N
1�"M���G���cw���U��$2,�i4��E�0�8Pm�
��o
��\���
�*�����d����y
6S,Y��5o� ���iyY@#3��3�-c��*����+&q�V���7 �0�m�^
:�����s��2�4��,oIc"
�LU!|XV��bZ����D�������#dRT�I.L�/�1������N 3�Nr�.>��<c����
WP����4^�\����z`�����A�.����
9��B3,�:a~`*��!rX3
F:x���q�n�u����P>k
�25�lJ)[ ��������
�
��3- bz�q�Xx
Z,��|(�Z�"z� g�H��DA�� t�u���
`���
���
�aQ`:
q���XF���,e�S�;�?��U�
���)c�s����R8���I�2hFP�Y���"�\i�z��]�KD
8
����5��
��)��h���'f�h�Yr��G��:d�$�-?
kG�+��WXp�\��Q,� �f\8R"9S��Y��-!��1-
Js� �X��M���f����vl�Ap�2,e����j��ZL��H�e���H��|e��]��E��3 ���D�� ���~\��)��a`�ERS��E.�F$K�r�,��� �R�b ����p����B��L�q�R�e�@
p�2%����ZLGy� e����D
x`
VH�X�
�sp�i6�`�%��K��E��RCD�X*�Fc��n�������xJD
5���u�q7V�Y����KB�����
�
\�Rv$�$��Te,h��\�G{����E���Y
�\�,X.��&0|����X,]�uzV�O)�X�2"_L%���Df
�g-�
mR�o',�
����%�[�\��dbi��
�� ���VQ"��)et���
A�blF�Q��,��2#MyLdq�SYH�P
|f�!Vh�p"U)�3������TvX�%���X"
x8+�Qa�*z��bd�7�@,�l3$��BF+C�I})/u�l�u�\�
�- P@Y�p96P��0(�(<�;�
{�Bf
����P K,�)0��-�$cqIf�R�*6�*X�:eh�K�E0�<H
�W%�c��D�<$ssX�#��=JpB/�� �
�����c��\�N��pQg�%|H�
K
ePf"�?�Tc���Q
��]��38��<iQ�8���F��� �g���2
t,�+����8c�&�C��c�� _p��%@]bUF`JpW���ME��Y E
Y�
��`�
�=���a �}�bF�1fT��
#�X�=����|m.
}u�@����n �~��vNK���b��1.
���l��*�,AI1��q���[�P6]
�!E
I�(�&pw��`%��B�����v�W������c��zV�����V1B�����
}@79������
�:)�0n��
���x,kCE��-plM�$z��rBBR��P�r�^`��P�g��
q"��k�������)fP$H��z�+�m
�.g����P�J�3_�er�w1+��8'��n�����X�X
t�H�+my��6#DiU��
L�i���������1�L
��d�
�2��uA��!+����t����M�SG��K0@=�Ur�N�d�`O�������PPS�^2^���)cj�G�86����(��Sx��Y�3
6�������������3��4���F�)�� �������l���B��i,7�pLR��"m3c�K��a>5��I"��6�q�����)
���+��N@O&��WBAc�1�z�m�
��0P�ds
��
���Q��M��N��0�����
(�/( r�gXCL�)���z��"�
#�M�h��U e��
@c(��#lZ�*�:��d +���,��3{8
h#
}������
XL"��� i��:X�:#�5�B���!�1�'d��
0��%�n
�d��%
��,z��{;�����P|�L�b��b����
7���u6+��!��X�D�����^�
�����]�zF���o��@��U�%����XV���)"��!�����t��8��Jt�|
C��
��t`�
��=V����c�m���MT���)66��8bkw�I@
�
T"�@�X����`�x
����:4T�L��
H
�Rt�$�-}f
c�m��@�}��
���3�
E�$���������qb����p.5��:^B���sCiP�zFoC�ez+1��p�U��h���
e`��?��I��b��5���u ���24{�MZ�~*�=84�L@��� v;vY&.���c2M)����
�<
~��J����F��A`0�� �6�9tAX�4�bc=���8L��V'��@�A�CQ�K
�R�8�}a
`�F�Z�Q
�e�$�����/
�~�g2|��U(��� ��1�������� _��3�~&�5c)��x�(f�W�9��X�*���Qg�2���F2��p�~�'�^&R)��f���P����F?iJR��
)[�%,���t�b�
��;B����Af
�tI&
d{r����D #a�c��< ?��-���#V��XS0tG|�{��a��� ���C��
2��C��h���@,�X����m��������{�}�A�L-bT��,�eS��2���h����KV�aQ��K`�
���
��0�]��OT�tA3
/��R�
�frH"���~�S�ET�D���":)����1P,���
E
],9"��fI$��%����.X���YP��*�
�
{c��+���2A���%�8`+"`���p�Z1[ ���n���FCS�%��[�:��t)���(�$��1
�`�*��2�
�\��c�F�p�5�1���E����=�Y��}��z@�%�
[��X~J��`���A��/w$R�v�A��BT.m4�&�������.���6 8�����(
�6�0��K�
s�r�(*����;�@���X���z��\Z���/�e��
�}%{����l
��K*����4[D���Wn�T
�
��`�ha��x%u:
X�B�%�v��.� a�N�����$( ��0��L�b
�d�5@�
�v�
%[�������
�E�R��Y�
���F@���
<A��P8zl�V��
�B�p���D`y�����#���
M�
�9��K�X�
���B��W�.3"�`�Q����%���>x��
]��=
�@ �l�!���j��q�8�����A��O��0db�
P-tY���0 ���$.�,�%��������`�����`?
s
!�m�A���D,*�?�.f�g�V���@
��gY��c�����t ���pXu��#�H�`F���)iR�����������F��x=�)�]����q��
����Y���/��3 ��-��N�\�16���:��H�7L
����j�>
�[�b!�����2TLu6q��}�Xd[��=�$���UF1��C���kx0�����
EX&'yN;]|�C<�)�'��6e�
�Um��L�/&��!���N��#-=i
SuX���_S(�
�.@�
I�CR@d�2�&Eb$�0�
��s��Do�b���G�a�;��s�B��dJv�-u���7��`n��H<���������
,�zm��rv�KJ*\�ZOBjK�=�&�����!fK�(��^I�-����q�m����M&]4�\�jH,PY�4)�5
0
��n��QNl�-�X�;
�w�r�)�K���|�
4K�1$[3�L�$����8C7��p !��������
0�cw$�[��X�� E:�$���.Y�p�z��l���L�������Z+5FG���v>&6I#\/&�
SF|��V������C��E^�sUD��
2�����s"�=�������.Q� Bs`L��Hp{N3O`�
���
�C�R���9�f���@PV#��,��d=V�e}��Lx�V�Dtg�R�%b�
��B
�B��X3)�M����l� Z��w�[��R��f)d�4(������ hY1��VR��q&�Le*���ylN��7�<�3�
V������
e�u3��������^��<7e�4�����0�J
�QD�>��TV�����8��FA�`����-�HVl����V�
m|,����P�r�
[��@2��>-(*e�9J�#niV��szd�w0
��-P��
-l���.���Y�dj����X���f���i��m �����c+z���W���s2����J��#������j� L�>�J_9-���>�">c
�i"a"�v���������f�S�T�x�*c*�*4<�Ls|Z,3��
�E,������O'��������&�SC��X��f ����!Ei4e'�X��d �
�������-E����%42�X��X"������u!���p3��
�=�b��gSN�uM���1�fw{9F�[�Z�l�����)� �=��^2��9�E�����%K
A�0���^������
a@
�V����ocq `&�����k���L�
�XB������(�BE]��� !�I��Q�!��h���!<��*IY���A�k�.��GW]��)�=��&�2*����T�����l
9���2��E����$,�3]~1�+���UqY��=V���H��8c��#P`s[�'gpY��%��Q(Eo`@�
d�4 �8�r
����(����5�B��P�\��9Ll���X�
vs12��g=z�K��zy�h��� ���
x.����2O�m���-f\&�d,��nt��1� CnE�\k�q���&3�m��'�n���lx���gy;��I�XX���6`�&L[�S��nL���tw3���Z����T���Jl����I�������N�
�d���4���f�N��n��6��wK�C��33�g�+$���C
��C����lM��R=�d���R���l��
��Jym(�(��5�hBI(�|`
8���Z���A/DA/O��zq���N������������|�R����_z4�1
4%
����]�d��*yG�C�P+�vA�.���c��\�
0�F���R������5_��'@���+Vaby ;�12��X�2����>v&`<���2�V��������f���G����QlL>���^&
_��PP����H+
�
�t��8��KP�\v6gk2� ����<�\H�����ls�����s0�\=���$�i�c�?�c������g
*��$��4�����3���oN�'�����6��d�����W
+�
��pOk�5�DM��B�*��`�
(M �eBu��|=���7�'�������<g���7�}�1�
s
��
������c'���S�*���2�[�t|('��YeP�aj����4��
����.��@(
-~���
��)�d����ael� 7�@��������f��0d�W�`GefE���B���z��:�r�_���P�i���
��-�Q���#�����WUs��fU-U���t8ShA��$����k 1���+���W�2�Ls����-)�Z�.{Q���N�����z4.������&7E��;*�����
��<��Xq���
����k����0]�!1b����
���7Z�(>��]��������I�U��JYn--1�v��������Q�S��IJ)�T���g��Q� ������3/p ��tk�����L}z��
���|j�hJZ�^��Ouq]����%�
��Y=6���Iam���u��Pb��"����?��4
�(�y$zY
�9
���*(����a38o K�BF��j�Y���I���,������#���|�����S8��[�Q��:DkT�$%HPq}�W����u�����"�%���$=��bV����u���8�k�un9 �C�����LA
nS#
�?&y���%5��������*nh'
b���7���"��t��;g�jI\�}�������}D�n ����r*K�I�M�W�:l&
X� nvI�
�Y��H�m-4�Z9H*j{���x���M����>��}��.��b�a[����.*��KQxbU��t����}�A�hW���0�z��N`��"��������~�[}"0�;����z��H�[%�?�U�r�T7���~
!)�s��]�<b<���P���l����\
� ������B�����_Z��M������qlLi0^;7����E�U&T� ��
aG��_�^� �.�'c�3GMF^)���Q��
��b�\6�i��fM����QV��l����e�b�[g���h}q��-����Em����x7\��e� 'oH��I���`r���3�!M��X/
6ensdE�-����ZD�,���;�
oQ���19_�'@l<�T�"���\�du�9~�����;�\�Fq���Ye�M��
!Qe���5����]])�
��XsaV@����hN~��tDE��`P�+����{�1Y.�N��o�2���P������qp��T ����'���s�
k#��i�C�l�������^cs1K
��;��y'b���A���Q'7A�bj�����
I����`�?��,D\5�6��o�
5-��
���P�j����w�E��P���O
s5pTL��f6QiN �A�#G���� �Vi�
x��^�'��K6�����v&��l����tZ����R�tx]�F;Lq��x���y~���kg����.���2�����%�E*��Z�}=G�Xj����T��J<���P&��A�����!�����V�B�p\.�-��44~ M����\NW���Q&\�~�'��2O���J�VX���P(���z��^S#FY�7�Q��s�\�����@���Y���K� ��j�������\}���:YUc�������)�4���lU�
�~ 7��~�D�G��R�8�
^����+~��u�6���S��\}SFM6����
-=uw��7y
���;���
�e��[S�Tu|
%�^/��p�W�"�y�B�9��Ni$��j�v�U�
.���]�b��l�.?�:H��
�R�;�u�tr�'�k��W��kr�hH�\\��>��X��� �"e:��|��:G�\%�M�!�<� �TTr��-Or�JN��
# ����kZ&KP�����'P�R3��!��X/TI5�����������q& ������
�����[�]���_^UE���;vQn��E�no=�"���n����
0�fF�������@� �K��_T��Sf�W�_�w��]wQ�0n���w�G�����!*����*����S��#�����;�I" �v��_]���(y�
l�����u~�����&��HM2�F�G�O
d�*:��+aN�
���:x���Nn{�M�����@������T�F�8�
���4��h&��)��V���\��p�eL�V�|J,�V��27%u��
�Bv&6��)�����J���3.g�G�^���R���s`�������t��HQ2��0P��r���^���p�|J��k%r����Z'yZ�*����<�����l���ng��o�Cr��
p����<�����������������6����6;|������sR���q��T���
.�Q��|�/gr���w�������c}
,�W^Z����TH�W�����S��.3�O�q�����M �M
�����B���� h��P���}�E������.�)
z��[g�\
����{z�R��t���,�>�������������` �U"W�Q�����0����v���I=>�b��cc��Z�_��������,Q�
�GU�H�*�p)@bCQ��y9�T>D�IW����;�����4���8I�#9Hh"zn��������
(�F�
����V
����5�j�����5P��
*\(��f7����w���|�2/������NJ�K�R������I�e.��t�����2��#��&
�����$$5��"���8�lO��j{�*�z��_
#-�5��*3�=��_�����o_����1������o������u��*�u~�R�r�<lN���+
�~i����6|����J{��o��S���������:
�����������]�z��vEB��
�q�J�M����Sy�+��p��:�*b���Cp��j�~�k��9���=z��#D�����Q��\�%Y�?��q���.m���f���A�d�
��j �5�� �zKR��>�mm���j�.�@QoM�����Pk�N)��{$Y�\�(M��G�u�-ZUi�����FI�F��U���z\<��i(e�D]���t��4%���e��VH����������"�\vj9
�I5��
��$����+���
Y�y�K�OK�<J�$�N%)���j7�m�����@)��B�����H�����
!��)mkG����9�H�%�?/SF�5o�r��sTs��pk�9Y���$���*WU���|�tJ�9f@KKc#��Z����4
��������hd�nt��K��dj�V�o�A:���������;�"8�p��O�~�x�Nx�D
������V�
�����@z�����_�[3�nNA����������iv��}�u&�����<�)L]1tA��1F���3f�������*
�p���E^q=�`���%3+c�J1�-���������;dmQs7��A�I]����1�gC����H�Y�w��_�}S�T���( ����^:�lGr�o�^@���=�D�'zl8��
+�Z�
]Xx
����
CIE_�k
jB�|�t�
<3�GgI��������(1j�s
���M�)����4�����R�2���p�]�I��_�� ��hs���;{|nKFIa�|[�����#�v�\���v9� ��M�lYu����\j�Y�I�j�D�}����
�����e���d�QL y�/O��
���u����j[6T]�.�^����"�d��*nB�j�o��z$�#�����W�N�Z�������V�][q����JO�8�D�{&��=�J@tkE�������Y�Tjo�?���G��,
�,W���N�����&���?�wY{uxt���s�b�����r���S�Z�W��-0u��������8��"���9��KB�[�l����������fk�����P���F)M\��6��(�U�<��B
m<5
i��HnV���X.O������������W�u{^�j�1���G~[��6
�&}�fN�
����HO�-�`� �'��1�������
a/jS�ry���nI���^�?k�����r�5��e�|x� ���e���U9(�����A&_2� W
)�H�tmC'����Dm�v�8��!*�dD�"Gt�M���R���$��
��WM���?�B�i�l\�}k�N���������"����tV|����gN�zy��<�&�u�Q��mJ]�l����2g*�2�
��K��`�5��l��#���=��Y_j;/O�v�RPm�
[]����
em���&�/�����&�[�����r�zr����
��T>I�I�T(
�������Y��=I���,A�����M��I`�,P�L�V.
���n��0P�t7*l�]YG`
GH������gu���ED����w;
`7�Z�M��$��T����q6����p��@/�dT��:)���#�B6}%���
�~�a��m���w�\�(���M�P�Pg25����p$��
�8vk���/�W�S��U�W�!>Oq�$���
�G���e?��29�pi/�A�����8p�Z��i8��W��Q�������R`Y_)��*8���
�m:��E����S����X� ��Q�
/�����Yn$?��t+��"��=v;
��E-��C%2U��$LF���9���~�&U
$.�q����@�n������!�hv~v�J��|�
+
N�SL��G�d��� �y��������P���G�E*������6�����S&���D\�yHs��;?$�lNp�K
o�t�K���_i�2}�U��}�D�����
�9K'�v���#�
!�%���~�2V
�*=��~��$����� ��r��� �R�����cU��o
q���x,�
4n �Ve1��T
�}I#�9�H�{[���
r����4���|�=��y�Rv��@r����E7Ag�q�2� G/I�T�|���C|����c�M5x��`�A#In������N�B
�SU�X�I�E����R m�uj�:f�-�x��������Z?"�R�f���\�%�}
wJ����r+�����}�&��z����P:_\
���aO��D�� ���n=/��:S"�?u�0
����j����{� �#���
�,�RU����{�G��;
�� T${m���Vr���V����^��v�z���]m������Q-)� �&�/��4���;|��]�t�E#J]u]V
�����j�M�N�S���6I���T�H�������^�)zA�Q�p���������Ht�
6�[��1#
���� ?�n[:Sm��[(�}V������X�r�,�g��8�G�F?������#W�v����
I�R��n����4�����K�� Y��:�}��T����5+�s���NS���&q~O��L�X_����G1C��zM
��������'e��L��[p�r
��`
}^_��s��5�T^4p��!����Y jj��B�}cK�X�(r�U'Qw�
�OSA��6|�S%���ma*��Pz���g�K2��
N�L%x�:��R��~D]�
:�����a�
��\J
����K�r�
����������+�7O����������������(0���NX�
��2����(QyB���������e89
'���*��������:�(�.�����^�!�-)��2+���$.�
���VU�)E��C9�R*�R Xb� 0�V�������?#�����K��R�]�I���F�[��*��������xQ���{�xN�W��>��
\������T/R"�����\j�r^��9|)*��#�D��M�G&X|>��
w��E����w8�!kS���j�
>��S����)�;��������v�]�������*xK�����M�!�(�N��"Hc� ��c�K3�DhJ]P�(&#\O�u
���"��y�>
�lz,�P��p
�}40��
�P[N:���������C�����JY��fm}(�#�a������U^�4A��IF:�w���5�Z�A�8�'�iv�������
|�3�?ko�{�9��P����$�
�PA�y6
D��y����|U7����x�%(����F0/Hx�0I
{�3��a�9�G�����mx������T���n���N�S�
��������cW��m}2��N@���>���^nz��
�I���h3 <�kXwo�v��s��mW
��GG=!
�f5w�w�~��]�>����� ��Tm��6�s�:��'���Jhr$
��&����L`�X��i������e��
uk������� ������=��'�0���:��E_�,%)#7���
bm�+����E�)���h�S�p�2�t����:�T9��QS��s���Ip�����ixM�+3��Zv$I���2k<m�!pp���V��V�PQz�����$Uo��`�'z��.qfM�b��c$��dS$�>j��y�[)��Z�~}��M�VA`)�G����w1����b�
t����v�U��Mu�
�S;��.U�����u��V#�=��\-���=)�>���h��yW�H���vw�9�$|c��t��zV�>���`�[��� ������9�.$�<�����1��?����7��G�����G;
�C%�|%]+��{0�3h�x��-7�������pY�+!�s�vW�B��rJvN �&����8>q��P~����_��)I:_[��%yu�G9����M�)e��F��;N;EK� o��F��j��W���W+��MJh�2W�|$�2����S��x� U�Y����O�
�r��.������.e�SNn>��|iqw�
]��������
R�5���
}� ~���K ����+�ui�~Ws���A����G5��bh����@,�Hx����������<��!�1�^3
����Z0�CD������n�m�
$Y5�<%����f������N�D��2%��j�Q��q
[;���AT����2����k=:��v��q�HM� n�����r�������)��!�����������t�;����E\;�w� f
"�������
�'wR��.Q�\�
ps= M ��)2%�j��'���X��������cQ���
��i�W��f���9�B-�9IGmJ�(�<�T��(��� ���I�nH��eG�-��l�r������C!���MI� k��K���d�D��v���C�ZnF���T�L�Am_���c$��G!&q���-�\W@���@:YJ�����J���Q��\��+�G����
FOKy
`��P�F���i���K��K�k����������u����������� [H��E,�Q�e��V:�M����a�=�cWvC��G9���8~Rp��)Z��������x��S���=%�!���6�i��M���
Z�F�#�.��\�&G:��W��Psa����5�[B�].5��,H��5
Y�i���v�s,Z�9Dh��T����fT X��G�_J��J�Lj�-�q����m�M���[��:�l��<�����":�V�B������
c+�u��g��}9}P��6iyg�s���bN���Uv���q>��&
W�K���xs���b��~���D���������P�;h+��� &�wl2"�P
��e�X�
3��dEQ<oU�*0�����>����[A��������
��r���n��Y��Q�?I��da��(y�����0��OQ�%.@Q52�H�! ��
�+��?�l����<���T���L��jF=��� ��V�w��S��t��gNr��=��^��R�$�9�����+�����FJ��?5�d���(��G�)�R�uAn�
������r�S���+&�l}]��
���)����A��
�n���D����N���%����5�jjr��o�Y��
pr�rY�j�H�:���A
|^
���^����|+n�
Q� $q^Vw6
pRH�������lI[�]��" z���F�LR&�'�'��=8�7q3���ZGEI7�g�f�N��m����=�@"U�n�}@j8�
�J�T�����
u���NR��?���{,�)z�1��l*��an�>w�_&;��<������/��J�$k���S?n$�3U88*opy�������UJqP��e�@|Q�S�Y��^����FfP���l��<�yU���0@d�G*l���F�Jdj_����g���j�,T�8��MeEy����JLRc��c#�j~�W*�v���G9��<�������fU�n���3~=$�O�;I����|��
j~��<����s�.Yb�aw�J|$�Sw�of�$��$g�Q���KZ���1���(Mm4thcV� ��
lxw�S2�qmc%!�<��R��9����x��������a�
l����K�P����Z���?ve� ��o��Y�R5��
b)�
���"#���
��`D
��9pv�g�sq���Y��J�SG�*U�3������]Y�
-�@����Q��N���" ���u�~����]�IM��82�Y�$
R�&<� }pIc,9��A$��q ���x�����uc�}�g#���A��WTD�[�����:�n
�t�~\ � S$�K+7U�+��E]E��s��R��9��{�+J+��q�'`*�k+Hk�Fv K7�����
P�� ([%�����������%�;��+
S��
�$ �cvwTuRH]Q�
�
�N
���V��\����Z�>��Ifq��S�� ��<F���@&o��x����;��%m����J�&��*\�
�q���T�'��
w��a�<���(� ���`N'���Y��!VE �Rj��l��\�>�A
�����^���*Y� ����[���>��(w� �xSb/�B�x���xouw/e���h�I�C��"�9s�5�tG��:�lR�J����3����9 �H��G��X4:�����P��y
������
�-�r)�W9-$�2�r��h���/��
y�,��H��%�f�pw�t�V�U=DH`�������t�G��k��������f`���kJ�##�4��xeu0j"^�9jV�O{����m`P��S��2�_����Jc������*�L�B���7\E����_�D�������������_������=$Y
�N�%@R����Y�+�K6]����t�zz
����
W���A�[�������\;
��t���+q���%����f�
i����^���]�?����T~�=$w��L�rQQ���&����~�����n�j=p{fQ8����|��f�5'��{)���
�o�!E��x��i^�
����E%���a���lj7��I9�S?4\�uv]��Q �^-�
����
rD(�� ��
������V���������
I�GW�
Si��)��c�}9��g:���SX��p�����
�?)?P�iy���A�G;�4%P�x~�G}��|V#b��3�#��g
��P��b-
8�:7UF7��(��I�����W�u��fW�lNA T��H%'5���K��@��
6i�����f��>��`P���m���l��k���/A��M���%�M��J�hr��
��
��n2k�������y��F�#>����3)�k ���5��
v}m
5�m�� F����U��wr��Z�F�uy�B?y}<x��T����������gW�<��~���-[__�����8<�S�����XP�U��B�I��R�J
&�`����
��������f'
����h���\����Up3=+���{V
�Y?��);P7N1��:�7Y;%��j�x����i�m���ByeDq����1�����
��#T������a����9�c<��p`����s`>�.�k��9�f\9
��9]��
����G�*�p8T
�
�2 �Q8�y�kcZ�A�?�:T|j�������q��bQ�&kl�������W=�!�e��N5�q�@���B�/�"bh<�4�����
���k����IP�?@LT�:Ue��
*�d��?��!T
X
^
7Q F{Pb�tU*]���:����S�uw�t�r����H]���}q; ��-��`z��,-��i�C5���}w�djOf�����.kU�J���k��D�(K@}M�@����(xW+��s���]���������2�K*F7!>�,�<�mAYB����8��g�H��[���z���u)�Lp���E]6��L�w9p6FC��K�
(�n.B9_�
���y��m��CJ���%�j�WA������HF��NK�5�
�G;
K,������\-u0����{�1�1�T���:
��t���&�gk�M�Aub
�i�{�=[n�M�{��I����O}n��R�y+�4����l(.8�Y>Cr+��'�����O�}9RxT�_����=\qN��T8:�p\��%q���I,/j:�4�����
)�
�L�]��2�_=t���y��{�|�o���{][���d
Y��������"�
x��
�V��{����"f����S���N<�#UN��
�W
W��8q����f3K��W4St����'w u�=�5/�e�u�O��Eq?���uqTF��o�f���w��8��d�=$dJ����KK��9��VH��+��f DB��7��m�����j��S=�& ��yPA<^����z�E�e�
��?���s��Nf
<��RZpP�i�c�K���o�,;�8�JsI
E���j�[�J���G���P���F
��s9�%\R��#�C-i���E8(�>�P��1�
��(f����
�������f����3m��x+�
�H�n��N�F�)�b�U�^�������@ ��l�� �x\~r�kRyWmc)�����u�wNW�Y�9Xw
���eT��|R1��NJV(�K���K��Z'�/
�\�T�������0���t+������a���#�{��:�Z����
����3
su��#��)������� �x�s�bX������M�k�KO�����r�N����,��n�
!4=�.�
I�T���R�M��q�R����U\� 1
8N.8�Q
�V�qZ�
Sx��-���m����\���z�q�(��x��W����2�W�>�Qe:�
Q*��� ���|s5yi�]��������5%}?#=5k�t\�I*\`
����%�e���q
��M�X63*��a��S�2���g��bw����Y�z�B4g �v����`��iN���$b$����@��:���5R�
��.�}�|�Y<��W`�_���}}�� d)��"�N8�~� )VT�q��]Vh��'M��:�������^r����R�99g�w����G����(��u���<D"��a���m�Q/we[��>��(D&�����UeU�����y��Z��%�(�
���C�\g)�Qw
'���J�oFE�9PaO[��:P���A)��,��(i:���cnJ��y����@&��)�����f#G
%�4���J�=%�;
L=d:q|U��L�
�;F�������e��HY ��v���q���>X�k6N�T����>�V�$
.
�\U����w�DTW��c�wP�(Jij�Z�sv
�=���{�m�n��'A�Y��m3$���G
�h8����zV�.�nE��rg�Y���='����^ ��i��Yy��P���8��}��v�;+�����;�����M*q�g�]b���uZ�I�H�t����P���@J���c�.Y��0"Q�����0������,��!mYN�%���K�Z����x=��oO.�RY���W��US7E���'��Es��B�h�����#�Ym�eJ�����"I������$�����GT���F8^�S���@�7�<�y2]�!E�E����5|���FH��
���d�]�Jw-{ �|��V��l<�#+�����Ng�Yz+����5#�t�~�>]���;\�V���*4������e���Q�$8�w��*������+��i$W�09��
���"�P���d�
A�e3FTo�?�,�EM���
)�
x���> ���0�B��g
��v�V+�GOkjC�����s��V|EjZ��eM����u�����Hz
��
��k5����
��_H��^�R.G� kn�����5]_���d)e�)���S��:��'\ �3�Qs�%�FEW8��?Z�T�����E������
��w-5�405D��|�G���:K{�*kV��Lg�RkG����*��� ��?I�O�K�qZ��>It�S�
QDYM7 �J��
�GE�����������t�ExWo�6l{]�J������#G���Q���CTY��=#�v�M���$(VyTJ/N$�p�����>
i���[�f���#�TZ=�����R�E�E���Dv��O�S�h�{Gx|��Z>�`�>5��Pn�z��qJ�
�f)����&yP�zR2Y������T�]��W`M�F��� �����������1L���k�}�P,�@��!�
R8=�>
�6 s�/�f�2�r�w��PE��� R
�4O��y�AJvH�K@�EU`��pz$�WB��C�
�s2f>np��8���_�c� ��$�����������i�~
�%�� �������_�g����}������McaY�$2� .�r*�0NU���T�q2�3�n��a���^�;�S��5/�Z�������Q�_
�
O��C�8ju��$�
�� ���o%��=��]��.Z�U����8D���>�s>O�|�N��D4V*Bc���O�n��_��r)�@��d
��[�(�
G��Z�
���V�F7^e����|#���G����[���jr�����������bA�����|�C�c����UGeytI=�� ���%n��|Q�p���I}c�;��O
�+p`��Q~�>k8��'q���]"���U���b&~
{
`�{X�4���JZ�oUXM��2����n`����3�J]1~]8$���������0��u���
�����i�QD��M��T)�0�+m
�\c���
Z�*G.��pr�DP��
�u�Wy�G�*���F���]�t�����M�iA
�
�:G
�t��N����U������x!�:
�=��
�
��N�������7��,���CN����B��hp)��
��s"��2
!�Uq��%���8nu���^W�������R�\J�+�a����22�(?@ute�������#a����*� %>x��K�T8��JDeq�Az
��_�%
Pu�Y|�e�B'y��I�w��
����+
}/�3)�R��Q
�dN8y� ��<2�e$+[�R�^NV�o�h������M����^Q5tj�L�*���f(�`��v}z��)+5`�C6��v�)������
����n�V`����k������)Llz7X�6�x*;�:
J%�)����#��K?����` ��V��W���K2�������d���V�<�x����p���������Us��5D
6��J��������4Y����[�\���]�������QS����X�]�^�� ���}�-�UIQ�G
�x2�~5�}[������tD^�&�GB[�# ���,���4c�;P�H�,����)����#��{�����4�Nb�q������erQ]RN��)S�����\�b���w#M�p�(Z}L�
�u`�$]8>�k�N���c��"�������>ZW`��c������5g����
��?]y��C���Y
���^�A�
�"B��A
M*nGEtG�:4��������v�����K�/6i�Z[=`E�����,�b�P�HOu)��Ov�@����3�`�u�qqj@2#���
0YK�W*��!�u$���v"�V��-�%�� ��u
���Y
��VNQ"�
�����
�Q�Z�����{I�x�C��k�Q����
p��pe��A��f�.U�Y�d">��vN Bi)c���n[���J( ���|�Pu��p�����bb�f&�V�
B����
I`v�C.I�����d-�%e�����
�o����X+"�"n'E��4,��$�*�T�+qO�~��"Y��$�����������.��"�B^�����
�V�Ji���U6v���IY��O.�����G�^��0�5U�c�\�1��f{�WN^����]�
^�@@���8�N�y�;��"���W�����9�����r��ic����l�������W�S��
��1 �����d����)*?��W���+�x;�&��`y��qJ���I�v@x�a8q"�
�,h� ��
o�>��d�T��R�L2,�����$<<-���=�Z���.W�9��8@|RT�UAY-�;)y<�mW���0��$M�Q.����D��(�1E���J��uL����b%�6_��m!h�C�q�V��Ko1(*����`������0KDq��_��+���IN�)Y�����3Ws%���^�.��b��
<E�|;jU5BKuV��('���.&��\��i��
�Am-�'''�����sm�V��=u10�����H�1��5QGQ/���u{
M@D���=������R�����P��;L�?.Y��s�M
�vM���0V����y��
������$�'@T�G�>����{��I�DG���(;�
gMI)���H|�
-��}< ��R���O %�6 ��S�gY�S
y����,c/$�������N�1���l1���C'o���
�r S�2!�K����������hP9[wof���M���6o9��e"�]A�����U��5{��H��S�g?���"���~u)�Lb�Q�����C
�W*����?��?��o������2
��rU�����(��pb���.
����;��I}�G������_�;D�:��N�>�A;�K�D!�cf�e���D
@@�3����<�����S�CO%��<FV<[�_�EQy^{�����&�
��v�'m�-Q>_�2�!],)j�g�/���3m-������P�����
;q|.�2<@��6�r�
��<X�
��B���HO�ON�~u��Z�;�:�������]�P�)R$��������c���<S2(�������\�����u��u�����jTS�
M�g
1��)����2�J�����x<��������e�VD
����Q��%�/S�����?Q �E������;:Dp�dS&���zm�:��T)+%M�x����us<k0*�7�s����:Z��N���M-����\M~,1���t�8��$����p6p���*���b��b��Ru��T�7���u��x���A��KS�V���� �
=*���*�����jt��"8���f'^�6U�T�q�wt+p��
�X�@E����6<)e��]�-��6���J_i��R�"�p���OC��2�����1�y ��C���V�}�T�^�#}�B*�����{K�Q����lPz@�?�$_
1�cT\�K6;�Y�0���K1;
��}�c5XK2��5�q��� "O��s�P��8��6�kk �X���E1m�'vt;H�Wx�'1�����e������mGu/���r
^]]#�c���rtz�r���;�~w;��^�����m��e/����
�iv���{B���X�=���A]4��#�TEB�6����cVO36uy���3�i�;3��s��<5���]�*��-u������2�*���t�VB�3���(��y5����l�
n���96�
�p�cc%|��i�H=�^[5/?���@?E�I
��G���_,��N����J��|���6�x�����
��lK���v�f_T�L�y�
������f���u�Av�"bH���#iOJ9��j=��.PJ��_ �Sy?$
(�^�q�k��O2�_��\��Y���C�����R��U~���r+�PM�����Q��+���V��Q�,�4�zz�
JPF���
�?V�.;!]"����� ����J�T���Ec#�>��e���R�� �S�\^�
��$�&����}t���
�cr+7b�.ou�h��HH�*��z�<-�l����������������,��
�����ZG������|��_���U�8��
d�D^�
��#*72���}��E�0��!��&����$�
��ui�cm�]�8����3��q
^�0�up[=�:
�A��
����?�����\����h_�d�KQ'�
Z+����e$�p���C�:�]tQ`r�!��p|�
�.�k��f��? �����o)6B�"
��UR�MA�K����% [QE��V������Q�)����C.�q�����>����l�is�d��:v"��r���U��i�.j �����C�YFL���l�
O����m���_�*�r��l��
���H
������i�����OKMK-�tTXB���T
�t��U�ze���(�K�
a�J|<�5���tGx���#�gW �#�
����X.�x�}e"�\��B�q������d+9_��C����
�i�q\�q������9�.7%)��s�V�|����2�
�s��u/���������M�
uGc�RqA�L��zuZ���Qd�i�3�������E��iN7F���j5���u_��e���Z�e_NJ���>���[�]��NA
'��^����*
�|]!�Y�>�v=�Tn��yY ��K!���*����p
@�
���
X@�Y�����x�Q�ik�|��pn�h�
�!����?�RJs�/�k��I��������E+����n���J�
l������RDW
q%�H���;�C�q��
.� �M�;�8)�u������Qw�����.�B;5F5]�T3Q�^�����
#cSYU{U�q�}���d���O����)�L��z��P�������$..��{���b�f�M;�� ����u��Wx�L�}os�)�"�u��h��>���PwR�{��)]w���������&Q
���%f���bK�����r�����]JQ��|h�$�ImSP����K��q[V�Q�=R2(}��=�^�{h�K�{��9��Dr[2���4������ ����m�q=�I��)� ���6H]���y�&D�``�+�L)�v�����p*��;U,�l��u�r��
B�r����fY�6�
]@B�����p���'Tf$`��@d����R8Kb1�������i��,�2P�f��Q
Q���d������-��p� 'P�5�&��o������?d�������r^���
dvE$4�y1��.=�yW�,8���q�W
���!c_������(
�='�T\���Q)�&��Q�/R��
�U 8�5
oe���8���
��H�f����*�-p��9�j�=��E����RN�/�4(�]|��q�#����$���p�)B����1�BL�(3E3���w�LM"������4%w���v��]'����IF/�>��B�r�|#���/��$�+?��;�����sU��-/��,��_%{d�,p��>����5?~�!�y�����Y]P�����:��-�^���p�[N2��ZN���u��2 A�����Ee0�DM�D��[A�5�����S���+Yq,
����E��E��_V�K�K��q��@mg���Z%�
�)d`7��k
�i���*�gB���Ur!G �xd<n�T�S��x�.�[��ae�8W����(�*�MUW�u-
p�xT���L����������#
tl�����5�b��4�HfPL���B�Wh�ATR:$h,J"����(�tNNd��s���S-vW��l#�I�jdi��~n~�B�N�������
�s�����uy�
�8��� �8� ��~��U� ��w5i\&��1��4i���uoR��-"&����@�d4�Q(����<���9���
����|�[rG���d��L"�2�pw��:���} ^2���n�������j&iH�
!8I�w�]�(�~�
q5a��#lTC���C�����zs9ax�!����R��V]� ��u�E �)dy,��� ]���j)��B��]��:���w, �����W.�B?X�/��U_��������w��k���,~)[���z�<J���������<Hv�8�_Z��+���8]b��J��5L�����2�?k��@&���T��
���@����������l
������:������s��-$���(��������7P���T�q��Q�,
���"�6��J����
��/��������O=�\}k��W5m�Zd�����KT&����AZ$p�
�<7�,���U��K}N�1Y���$E��:
sr��.�����������8�3�W�$�����0]S�W��w�K%�%M�j��CO�����&UG�ZZ�g�����,�v�<K6BO�u�A�Q�/M$�^k��'���%5�
�i2�?wm'�
��>��\���K�v�R�g�+i�����x
T�7�6�D�T���ad�h%�J�������K���$��
���])vd������EY�:��l0��+[�J +�]��n.���BIN
o�w���#�/���w���s�<���D=��@Y�c��r."[$�f����
I�-{�[�����PED7<���R�J����' ���r�
�f���0�I }x9�.���'�(e��%�A�5�Y�<���'�
#���c%q
����{�u@��8yQ��
3��h�Zv����jKY��>F�|r�g�!T�<������
;���+O2H���8�Q�3����Z�F��u^�*3��
.�t���G���%�>n0|V
�*���V�XI5>�J�����E���������<�A� �e�vE�����*'t<E����:C�]�uqi��+C-WU���3�8������fR�0=U^�
�P<���
��(����5��U�
��5�
��x�6�).��i��
��$3�{��I.�X%V����Nf����$�\MnQ����r�m�%��������vtdb���Ck�^�\3�W���o9��RCt<���)[��j�k��iJKk�H��*�e^�s
mef��)�7#tS�+E)@�UZ=�����Y��RS}5L������
G����]�7Wkva�k�B��:u���+W;H�?����uC���I�{=�
�s�Nm:]}9��+%�f���;��X���^��
���P
Z���}T�k����*Ua�!
/o�V)��`%ZeR�e�`}��ZyQ���;�����(��sPlL���Z��
�.w�^���g��B�Z����j�>e���L*���z^�' �C����m��M���s�PD7�^.���X��#���T h������
)<i'��.�+
��u��}]���
���UY:���|�nh#ap�+V�eT��6�,g�%���%���}*�������]��5:2��$0%�{id<���y�_�R�����������vpH���k<uV�4�"��E�>�g���3ny3��
:=�WC`�R:��_�2������9Ld�cy����
���m
��Yi�
�R4.� q� /
��v�*})���uj�!M'�9o�����W�\��tME�RwW����}� ��g��i^*��.�<��c�UP$����`�b��V�Zk!n������=]8'N��g��W�C�IU�C�l3�#q|�y����_���mj�TA"y��[_�q�� ����Tbv��Uk/5��tj�
�}�l���D�S��M��KCV�7��n��@�
���]��j�FX&A����%�}7�RZ�����L � ��R��9������n�>���r�C� ������y���}�����Q��6�C��5���bl�E7�=����7+qYg#]c��J�����say)[q��8�E1j%�U��P���3��L���<��Q?=M�Nt�����~�[���
gk�����Yg5�P$LG-�5�|��f���O�\Fk���H��4'��:�v�� �R>M��*�]��a�IkU��E���f�������s�_2���'9��x�&��tr��v���Au ��D�
�J����n�GU�m
��j��+FR���+�������� �j@#[���6(`������&�R *}��.E%������\�M�_�
.����W��V9��}^iE�U�����u����D��h�w�#�~#b���g���r���:I�.��?@��[mA��mGR��JS(�����*.��������V�9��M��J^�����������H<�,yhK
������p6
���r��I���������/C)������&����B^Gv�{{GM'h�W�}4���`��=+�)�/
�
�)l����<fDno�<��e��*Ja"I��E���+br
q=�L����>E��651��oGI/
�>3��������I����Z���7����7���������7����W����]@W���"/j�
����q ���
��"KvA�+��gR��:���
���ss��p ?S����M<��$� .7����Tp��N)��1���5/��~:���������g��r
���n����H6��M���
���]�������
q-�, �A��[
m� _�����'1�K�1Z��Tv��Y���pL%���(���%\i��88O�����E�.e��O��U�%�K9fE��
N�y�di5�,G���2�efI�&3.���e/�e�|�����]�R�i����uB��# ��i�U�v(y+��<x�FD����p����UT1����f�����.�WGaY��q6��R��-yOI��3���&��(Z��b��5j�
����Q����B��Q )��;%��E���%o��6�;�,L�����f�M4
��QR�J��nW�I�z����$b��}�I5�r�p�������B��&I�_��F!r����
�� � n=E�:�;?T��������!����G�I!��
��?n
6��N���y�W:��2� �C�����E��$�@ [O9��{���x�W���/)
�S�����
���LM�{
����ft[J�J��k�J:�:
�� �4
a!;�3y����;�"��KF�Qm�c���B�P�� ��9 ����8�#�e�7
CmZz��l�$n�����23N
}�K ���JE��"sQ�C�S4 �����R ���C^%����SM(����� �X��p��
�t�T�I
�T
����b��Cb
��p-���o��H9�� �kt�������p�=��/�r��DpZ;i�:������I��<��&�
���*��@��,�U���
2��
��a �Eo����.o�w��8%���>�S%N)�L��b�!9���y���L�F����)=���I<��u�
�^�
h�_5�n�D
@&?zT�G�j���($�A����h�����cR����T�b/�������FJ��:���$1m����^EQ�f�����m��b��&�!2��k9���_"l)�x���X�����tGI��a���
���\�������R
�
����� �"�n�;���D���E����p���f
�q�����1d�U����K�*S�.��{�Y�Pe
����_��
]W�F� u�
���FM���.������������R��Eq4������
��G��(6�,
����W��+L��C������-����JK��\�"�
�zb4
���1�����#��
R�����+I~��0���VT��S��%�[�@�\�NQJy:��z�AVH�����������Jg~��
���&+�wk0� ���Z���h�7�
�����
����&�^n�h��S
�2�����c�
W����~�����
H}M�����r���V
��U�fq�N����n���3�>�&����������-<��:��M�����c���]�I�=+��,Vg�t���u�&u��H��#n#����&!��=�/}����l'T����
z!����J�z.�Y�z��a��U��z������&�$[Z�h��f�}W���!]���S4w^�\'�\IvU�n����,��O@.��HzC�F~tb����t��R]�����cE�|\H��.�����A��._�z4�I�
���H��@Q<}�g�"��z�Dsn���\�����g�L�d�hu��R�C|
.�1��t)v���/hF����5��`�+F||k��>��
�9�����A�u����@b1�
9w"n��Q�T��$�F,*~.�����I�t`B���Y��������[Vd�_�B�b�W��iS8$
�}3S��P�. 1~
)��������x�U=T9%���Vo9K���.]�����+�������V����sx� �iD[�r��vw��������9�}�-G�Z��\;_���������:L�:.�%��@5��k>vG`�2z].��QlX
3w��l���9N��$��NU��=����U4/�,��h;�x�2J@'dOG>Q�d=J���^� 1��?�@���|���yk�&���k��������.�
GY�asom��n��
��^n�
2�\U��oW��O����-B
T�}OG�������r��b��Q��E���
ReXb�������U�S� iM����F�2�M���+��2�e[�9��6f6���
��8��
���i
j����Q�������TG%k�E�\9� �-w�q�S+��uq��R�f��K�|�&�]f�����J ��I%��!�E���c����:m�|��]WT=������~�j�<��;?Z J���r���_u��xs�IE�1�6�b��4JS���r�k<��/�O���';�,����7�vMVkU������n-��K��P/�]v�f���m
��$�-L��L[��J��P���E�S�7��J*��=��D��������W��T�����a�e�
��j��#��)}��0x9.��D�Vv�H���Ev�����l\���>�W�R|N����Uw1�$�%��^E�=��(%"��f�&_�0]����]c�:9z������\��4�(�!�}���C������o�'��b�6���~���'��?��L��4�P�(�ho���.����oQ
�m�%�O�p�ijc
�@/i/q�)��|\���t�����k3��
J����_���y~,����Uu�g c������&�U��6��m+4�"����8��+n�"���v�T�i%���8Z��1��R2��i��[�����
��
�2t~n����5R�.\v�c�]=]��Z[*I
���/Y���!���p����v�������*\{�D!Gx*J������u��\�Vv��3���(\�h.l
���|�
��r�$���
a�. e���������:5��+���\�@����A���]'��+�|�[r8�
��U."��))PiG��:ug�-��
'���5Q����X��.��^��&�4m=���OI$W���L�����T9Lm�H�K�qJ%-m
* ����,�wnKl
-YT@��uIF����h���ba�)L��
@%��� �BHvw!L�y�!+��*����4j!n�X�`�d=�@��a�
�
nW&�s�j�
N]�2i
O�BQ"�6��v�]6���������~���
L�2��}���\F��8�
0)��xXT&��j�]��K]���|6������u��(ju�$qB�T�e@,��k�7��)wS���*�\`2�b{��r�1Q����\j��T�D��� �KQ����#��������V�.LHk/G �s@n���b{��
���/�]84��S�vY�
�6K����,���j��S�tw.�kN�4��T��[J�oiEeN�/2�H5O��L�*g^���q���|��=cI8Z*����%�4�����gK��{�A)�i��J�rp��V^;��U
� I�|�G
��<�@������[�cR�!��+,@c�;V#e�0�-�$i2��
t�`���FRrI�P�Q�\�~�XmU���[�
���Qi]�}
M����ZFG�7��7�a��N�c,���
�[�K�/J�/��UF��U5pw�I28
D.���*��� �Q��X��s�>��z&�7EU�"�{� ;�
����*�]��;�Vgj�E2N���dFO�&7}���1v��
A�N��D�^���� �2���t�dPu�f`��*�_)�D�[�R�����1N����;��P������P�D�
���j��~�������C��F~���[��Q�u(.����� ����mz�:�i'�efr;��=�G�]�fs �'5���N�N#��^�o������C]>�����R
�SCm���.R����$q>���V�K.nr}DQc
�>�����;����Q;,�2��QSW���t�����n��/Zm���i��58����(c����I�Gn�0�2��a4����g��(T��BV��@>��
�$Yc���R���]�3���5������`���y��k���$
��>����g�!��OL��������H�L�~���$MP��{
$�{s8��=�A����9`���\~�
d�1 �<��
�'�X��!����{����@��;������$���i�h�
� �A{$V'��S�����������;
��d>0W�E9�)�C}�%F������'qn���*6���
�>�:Q�������������<���um��:\A��"�<*�s��84
J����Q8D������$VE
����2�<vB���Y��_`���@��s�D�J�y
��
�<o�Ie��zT>_S�p)�����U3
�� ,�CU�g���4j�����hC
yz���
��i3_�T��%��
u�S�y�� "G3^��[:���K�Z&��kq������n���
�-�����b'��e~�6y��
C�/���
��Q��T$)�����P�z��Q���/fP(54�wV+Qw'��� �]�'�(��S{/u~H�C<���
�-���l��uh?*:�S � =��;W��rn(Xm���D<E�������u[���A�c���o�J��A���Q,��UD9���#Q��S���P#�Mu��:'[�"{���5Rz4T��sM����4u�xUS�K[�����BN�.��v���;]z���� SJ���\�F<�#b��u/9�E��F��W���r2%���VA$���#7
�6Ju�l�^��7U��gG�~�U��zH��**%�a
_d����a����l�9l
��<b\|H���]� ���2H�w ��sy�����7*���K���r�<���2�����n��?5��q
V(g����v�b�����w�l���x�K�U
�X&�X�i��N6O�����~R/�w�
QVoD�6
�=��([���q����r{������ �
"A[��u
X����_%�y��z���
� l���jN�F��d%yEr�.�nm?��/��5m��T~B?z�<]����f�rP������x������
�����|�}��=��2%����p#�
=T�/ ���@2������T��
��y9C�%��(�
���� �cP�
7 �TB�h��eZ;����R�I��a���z���\J��
�*lr��S�e�,�� _���O[!�O��
�3�!y�7���L�y�R2�� pB'����e6�D5]�xz�����\R�_�]nBE��J`"i"�,j�(��
� �����.�I*����*d;@F*����k(�b�?�����nR��)S��K��WnlP1�u��Q�bI�PNR�(a@�� I
�����t���t�E����!�!�.Ip]�)�K����{��n3,�k�+qY'&�p���s���tEVD��"������R7XHj\�o
,a��mG����jo��\���v����P�bp\�Nn�u����)�
`A O�n��*�Q;!w/.%�T�� [��u_\��b
����a��
I<�\����*,�dD���iUWg��8���� ���������Q��8��X��������@9�TYy��"�A��i���-�g�
4��@��x��Q��74�EJ��S���j4e���ER��h����I�����dt6'�����]�����������$�����u
�Vm�P
S\F
� ��Q�q���>Ge�����n��I����<����N({b=-]���~(�+@p�n�f�an
[&.r����F�
�G�)������<�:��itdv���>��j���{��r�N�8�v�U(O^}�:����RUY����i�H2�����{Q������b*��Tc��.~�r��0���6����[a;�P/���GOC��RP�,�6b����=
q��'���Gs��M-����r4P?b��@��U�@�j�_�+�=���9U���%JS���x@��Z���a�c�R��P4��G:1Ia�K�.Q{��A�u�<�������.��%z.7�f4O<\����a@i^��r��,)���ct1��������|{�� (�u�HW�/�
�3��l\q-��I\�0ng��B�~U���msF)���Sf�lOp�l
>�f�.�5;���$p���B
r��P���/P������UwWo��r��JQ3`��?Z���9;1yk���~,���&z
�{d����*3��+�Q��h��������
�������)�Y���<
��/�a���y�t*�eD��JV���W�OI��c-��BT���{Q���F�
�����1�a Q��u�������62��Ur*��gx�>�o��w�V�� *����E��p��5UR�����>�b����{t�����7�pP=U��v�0U�q>��}
'�pOV�������"�(m����U[�I��]��U���4���-\��e���jC}kO����w��(����4�{� p�"�qr�G?���g.>P=������U�l2_�i��|~�p��r
�H�'-�������M�J�'���M��L�G{���x��P�V�!�jY��p���r�+%��rB-k �0� ���J�A6@�z��i7�y��Vp;
�(%�K�T��������W��������D�P�/n�'��v�����by��<g�x���� ����s���������[�y��
W�C�dn���
�f
c����������vP�7vd����6�RQ�nYc�
_G+���,�7��P���O!g�^
���8�F���JJ�
.���x� ��<>�#�E&���- ��r(�
3$-r��11
�\_[�E��Wx���s6"�N%�I��(����2�KjGW�P���37)0���$~(E��q:}Y�~�L����X[b*2����#��� �$��\��"�3
���PzL%��m���8)�f���OT�I@
7+��G�0q��7d��[mv�����u*��j�m�$u��
pW���]�U�v�������FB9�\�<�V���=��
�GU�VS�
���
�
�?�2�I$���s���*�m�'�^����� �c���N*3�h?M�lu
AY��=��:EF�n|P>���J�Kg��F�1-�\r�6��������MY��t�����w�GxS�A�m��B��E'��N��yC
�U�;Y����3A
��hh�2��,8�m�bq�+��\\-���j��~��Z�%�
�9���������u��]��q�����2�B��4�$W�4�V�8��j5 k��+W@ �������
���D�}�m'��n�b)e ������C^N+vs8�Y9
3����3x���
���
^����S��r���O@����
�Y&��jA�}��>@���Y��^��$G0q�5
�p���������l�Z
>4P%��{&`{'��.�YV���h��]^u~��n!�zP �P���������KNz1��y��
C��%��T�_���|b{��1 : K���j�P�G��B=g��"��~����e�/�=J��>U��j�.������\�;�H���@
�����tQqWNO<�l�M)��U��s6����)��F����u�>���F���|=���V�
j��p���
�{�w�^���.T����JA7���dl��D�����E B(Y6d
\������������h����{�M-j�&3"�z��q�����+nIS�$�iN ���������\;%���
��V��?$�T
��m| I�����@��z/_s=�q�
`*]n��K 4�z��'w)dO���5�=� ��
$J��N%����I�����<����[u�\�����]�k���s�pA�{���am�$�h�Rq#��L��(����(�����B\����(�[��+��H;��d��
�WC�r����7k[��tv��d��Z�c#�����=��"{
���5������(���I�"^��}�D9�A����_#C�
vn��/R�CO�X=��E5!����{��x��\�_@o�� &{����KP
��)�I
a(��
Q�����u�D�x(���u]Xs��\�
�C������=(���+�>e����Q����4"_�$*/Jc��*2^�f�lm����*������;���[��W��C��Uy��9KX����&�*q�u \.#���`�2u� ���8C��j(�G)D�dj+S����~X���,�u��z��>��p�u���� ���t�|�����DD�Dhs��\�Kwmw2�7�H')��V���F.'���y��9��
�@J��Y<���Z|yI����]�.��2�+)O(��g8_V�O�E��P
P��'��N[�U����P9@
?�/�e�>"
<
l"����o���sN�Q=K)��~ ���q��
P�
�</�i�{�N-��2�<�a�^�
�o�P�8���,�6�)��W�E��U��y��d�����K�r�D�%uWi��D�^F���J�
�R�R
��X�HKz�IP}>�iv#�]+�Av�e8����
���7��V�2[�����DSy���J"����U!�Fw*t�R9:S]��D��W����Vw���w�A��.�]���� �
\��u
�����/-T��p��TN�2���Tw�J�p���D��M�|�>���
M�r��E�
r� h����O
�c�1$� �_]�\� ��^�E��G#�q���2<��n{����7�rn�VWm�Q���E�Z��LD�z��P��r��,�p�U���4Z$,R�
���d�+����
�������nw���y
`\��6�%�`�\�SQN
��s ��=��X`�~vG�]�#���s��-b�r������CKs �%8U-WK�����DN�Wo<$�(@W���
��A�YZs���|��l�';��oK�����,�M��W���N��v��z�M��o��
��Q���3��
�]��u�<���_]�]�����u���
�W�
M=�`�|�U��:����1��]Q�2�!��%��T4+�L����!`����J
]��W���k�_U"%1g���{)9�`��j�{(��6B�r 8�%Mkm�O�D'J��7��
��]�@�T�hWO�O-��P��������zN��uk�L)0���[-O�E�i�l����9���1M���T'y.v����J0Y����Zn4��������&
c9)��E=~�ms"��T�D��P�
8�S#��vS�mx��`6I���7��]S%��������K
��z
��t�����[����(����]%z���t��������W]F
��Z�e��KVJ�:T�]�mI~kv&P*������K1�Ko �h���
�P9>���x��aYZm��=�ZR�E�J��\�k��~�$�x�f}�li�QD�)��y�g8���%"�|�����C��Vx�R>�K����mFI�S3 _��P�\��&�sIes�����Qy{��������l�!e���:y<ZJ�����w��x�0��`�B
���[_M�lU���_����.���G�m���W��=��V
Dlk�/�9��������d�R�����[1��G�PS�&v��yC��n3��@�z����~������Q "�H�A
���+ �kZ$d���;��!�S-�u ���s������������xz3~,��d�_�|@���p�N������m���,�#������������#SXFC�[ �����������Q�A��I,�y�����J��!��5�s�C�;
��
O=��>��[G�u%S!�wX�� ���m�Kg/m
5k���<�SM
nw;��eY#�4u/1~��K��i��5mn�r��>�}�8����P�$Y�����v�<�� �?^���ZI,��bSKGP�9�c��<�EPKV�~�
�vY�����+�<�'V?��Z�M���)CA�W6���G�"��� �
�I
������#����rz�N�Z�&i��G����T�=�1��:(�Bu9����K>�v��xT��Ta�����zT����P��Q�Y�H�?���t.xR�&����������$bT�� ��Gw\��*�
�v(c���� ��PCg�z�6{��`�?f��
?�cg���%�"g��R��F��J�._�/U��z�]\�����~?� �?� ��~"�U�X8r��
������Dv:�S���LD%n�cL�9eo�
��hU�T!��S"p��Lue���V����D^P�
�5���lQ��?�]�x�C���|����I?(��=�K��&���}N���HZ���r��%dc�������p��'��=���cy��o��F�^��T'/G�xm�#�����~+��lE�xG�8�{RB�
x������:����gB�M(�"�e7�:�t�"���3V;������d[.%)����%v�;�!\��W �H���$�d)�M2q�������� ���=���yF�*YQ�}
���R��m{)�����D+2�VO�9�v�ptz)��� �� ( ���G��
P�=J�,���+G�3ele��/-�������@R�F�������%��z�i�z���G��4u^��B�����m�0w)V_�k����gE�K�j!�T�����F��]
5���0P�SM;�����������i[�`C2�r���
c����@D���T����iX���_\��������� [k�B}����4��
w�8�ba�"1U��-A�RA�/��]����5 ���R�:O���V,�:Zd����:�E#z(E��E5H��R����<�KG]�_���lE@��a'���
�Ab\��~,����=��B��%a*�@�p�A]��6�*K�H���8�j5��.a�Q�Z��������I�Bf�K��(%l�j���hr-�V�SM��y�I�j��
������s���!��L8����'��m���>��>���J��5�j
�(U
�)��c)�fR'�[��]a��v�'��%����_4}�1"-�n��AbZ��d���9�_gQ���r����NO�o�e���8����}�S��a?G�M {�}�y�:v���p��_[����
��Pg�Y��Su)���r��)��k��k�|����TZ����-M<�-TW�)��������..
���������
��c
,�p
���c,�����g���)���l�$_e����i
<i�
������8Zs��}�����
��R�a�����v���{P$��B�� �dBb�&���3 �~t�E���5K����*���:����X�}���/�����j�K���
g^�;�*�6�����{
_�����o���5;�����h'�
����s���Z���>foj����t�j����p��q���oz
�M��KB��#�3�U�8
���GY�+��`q����;E$ �\�M���Mw����Vd���8+I�
h�u�6�M�iA�Jp�
��
Q +��+�O"�)0����y�k+8(�H����F��=N�{k*��8�DMs)�����9:Oy}c�g���<ReCEu���u�n����N��@<RF\�L�nl�,�J�W\ch���g���T�i ���5���q���� �}l.��K�����R�^Vb��Bu>L�G�v�{k�M�����E�� Us�zWWn����$-�M2ti��F�����Li�#h�?)��h����B�
-c��?�?����K�)rj���{��Dr�E������o}�n����N��Dm<�4���C���[|���}����{��Zs�No�{xz�f!A
���Z>(���j��������Y�.��k1��qs�������'��%{��YaVe��
�>OEO�5)����t�A��NyF����#��[(`,�+I�/�Z�!�e�)�m9_d3^��yD����Nl�'��L�I����B��%�
�le%>�����".Iz)E�En�I�s91�<Sak��]
����89$�*�p)b����\}=DMy\��-�F��S�*
�%�(2����aM�f�+�C�����l5o��f�.�=H�E�[UE�\��$�-�c���hM^�-of�������n=�6�
�g��
�����z����� e0W��>0�=�M��-u�x~E[=���;�9/9/��������)�t�`����j��:K��� ��.5��M!����0��hW�K�!�+��KB������<����>���'�!������K`E"�{�����|< S�
�d*��������Z0|�J�_�8z��2E�W�i
>�A��.
�
�)HG��++�g�N IU�t�$-IrC���NW�P��5"�h�Dn��������h'�uL���I�kQ����l���p{�Y &�oN�[��Q��M3u�v�M�������/9.��}�N��k�?���eu ��t�#����j&U&�y����1
�K��kNg�V0{<��AK���f�^� |�?��+/D
��
��j�0���5\��{y�fn����� o�},o����3�y
���!��V���r
������I�����EJv�bx�A%yn+:��D���7� h��D�J���i
I��@���%q�����AV���t�x�V��M)��PE3��D� ^P�������N_�cR�hmh�d���;J�/���u��GsQ����QHMU�1��J>����?�f=�Z�9��I�q��I�j"s�,8U/�
f2n�
��U[&@���$����*9��9w�@u�S�����%�Y)P����N�����F �*{t�M%�U+�%��E�Y����
���U����m��h
F
��G(H�&3��I�]G�
�_w�
���n������{?���4����s'��2���w�A��F����wG�K���]yW�H�[
���'[����8���%/MS:������������2��Q�K�[
Y���gV�rO�v�T��������d`���:
��ow��7�~+��qk��A��G���Z�,U9�Z-&����s���uMo ���%����-���St:���}�d���R��|��-��8@�8Yh��8*], ��?�o������Z�t��Kr�s����x9u�v�\�s�����E��G��3��I�2w���1������ws^�.��uU`��(BrT���>86�)���'^��[q8�-%<x���S
�?<2A�\,�<�|��%"
���#Bp������
���������<"9�d�84������WW�����
tS�B%(���K���gC����x�D�+Z�U��^�h���Pd����8n��
/����H�=��)�J�
-�w�RW���M>$�l*���1���{����
������Oq�]6��h
��]?��r&�*��4����%����R�����)B��]���������stv�gPSz��y�
,N�R�`��������KV�Pz�*�i�x/Ui�
;�
,�Z�j���h
�����$��%�r��]\���1�{E�x�
�\����x���6��
Ez/����q
�".�����mq��L�'�arl�
w%��� �I�O�U�I;v�
�W���D������0�h��2�]��[����T�:��qZ�6X(�� ��
���
v��+|Z;,��A��K����)��W����f5�=�������%���v�S]�
�9�<�K�����
��������p<<�<d^�>!*^�f�W1�.�k��30v ��_�$��?�
�f����@����t��O�I���,r��(u����G�0r/:�W�x�\����LS�z%����q��
-T�U��z�>��mg�:I����
��lUPV��)���LB�� ��s�
(~�N��nLhS3k�+M'���
8a�$��z��(��0B�g�w��-�u4��Ih�
G�����e�Usg2�x��aU��+�+<�4x���=L���bP ���&���GC���j�Cg�Wu�@��V�z0}[Dc*�� ��T
���q"�NUE�{j�����{Bn��F�H�F ��\'J�"o[h� *,Eh
��m���O��N���>�h:�����n�H�-��N`Ii8�����#�!aKr�&)�# p��9'���'�d���"Y$k�Q�|�l�P�Qup� u��N%����7�R�~"��s@���jS��mm��1uc�Z���f�:�����.S����DLrR�&g��|5���U,��v.v.�3��q/��=�F�I�6j�V��T��~.�O��F�C�4P�X}�svn�u�J�����U��d�� JS���:{�����)'@���)�1�N��y���@��K�&9�
�C!1|W
%I�j([�RMb�K����u�� ���t8jj�OE���K�
=����X��y����E�C�p7�,�����F�����=��
6�F�
~�t�bZ����z,�NW*n���-_�#F�����6
�������G)�zJ!^���*�)w������W����g�AnsO��<�)�z �r�
U(�T�����T}��`O���u%+r�H��yZ_N��=��1K��!�g>Y(��}N�
���e"�.��tm��
������r���|(�^�u� �����\����MV"��� $�g3C8������z��l��Wv��$��v�
��ig�+�~�
}\x�T%
�A���wH1���/�z;��������Y{*-7*����i��z\���v���3 bxr(�d-i����,�`��L�y�n-��B�YS���p��~�JP���7�QM%��r�jL��L�kz�8x3��5H��u_^��
�Q����5��x
�4�C���V�
��F����%�gxx+ZP^2-������\��rn�]J����VjR��y����$ =�������u��
������V �L������7.w����
B�����F��y���&��(5r6��S�y�pi
��Y�.��"�
�A���2�
8.g j
U�����T�v�G�cY���n��
��[���-]M�����8��mU)
e�����e�6�7E{JZ+�?�?�$OU��.
��7��=E��
�$�k6�C�:�����d/X���c.����
���K1I�N�vu��������v��q�w�Y�SP���X��j8�A)����1
�:��Qo�
��9�E����I��:p�����
����
����P �g{G�(�����^I��d}�=
e���������==��I���U4���
�����|���qc��o�u��n?�j�%1rto��������R�-n�=g��r
p��S�[��7��\vy�r�s��^ ;A"u�#V�\U ��W���3H�}�����j���W�<~j$��"+Lh+0P�b�����|
�k����A�~Q<��~��%�D�
v�A�8nP�*��]��6�&%�������}���Wv`)
s�d~P_��
�������_��k��N������wq�����U9�H�1 p|�*,��.����X���Y����*A�gU
V�����*_PWs���
������tI}��\����
�+~x�*gJ%�&e�CW���������7e�
�t�kJ����
qU���Hs��T�{�MO�k�7�D���E�<^����M��I�����y���N�������
���E�
�&��,O�U�������_Rr
��������J�����N�q�
0?���^M��}S�+�^��
��|H�(�-`�-=�*vz$�tw�\AQs�"�#�
����uJH�&����\�do��(�����CG��
�9����d�
zw���m�n&�����"P��^���<��c��?7$+���~����mo%U
>�[uL�~�]����>�rZ�QT7���X��9��
)R�Ml��n���^<��N}���5V��}v+��9y�������
Hh��� ��d
��P?���[+Hu�$S�����\�UHT�^CEqI� -
��q|e��~�g�{3rq�����)^b���T�h������I���������-�[Y�zVP%��5������W��e��/n8����������q�����Qoh T�E�nt kF-�/~M��$�0�sqN�*qR��20I�Z^4��
���Q�'
�pK�Lf[`B*$�2K?
�.�_��-�Y-�<������kI��u���4ZcJ��;O�4E��R���C��������W����<��
�j�c}�"#�i���l-���^����Q��y����M��K�q������>�N
I��1_��|D3�*�����y���cU���i�Pe�*�9<]��
���w(,� ���;�O���{18
�J���/r��D�<]��
�[jQ3�9U](���I$P9�g����a�����Tw�.PM�� wU��������o�D�q<�TS�o��$6N��ZW�Q����@@@�<��+�
�y#j������ait���
�no���)���Z�U=dN�\���{*��H� �v�iM�i��%
~_[�������+
A���[
FW �.�������S�Ov>��
e��r��]���Q�Yz�q^w�%}���[��"t�
�s������$���je��L����N����GXL���������Y��h�
u5_.(�p�A�����
f�)n�JByw%?������� Rg���>1%�;�FB���R�\�#m�v5/?�N��c�L#]����u��O������
x��w$s9K_G���"',����T*�I9'
w
xR�l�
u�RT?�Bhr��!�� ��5����8!i�T�����{���M��BY��6 �0�(����$���������Rb�_�)��+D�
�x�
#u���������
kq�3����q�a'�4��xH��
���.~�����e��g��| <�
����"�D��
N^W����H38�����:��R���������
#W���K/���2
���v��]��xI���Q��������yg��li��*W�5��Z��P��x�z�G2\����}��]1|
�D�f=��Ki��6�J���-m��O�x��'RA��l��"
u8t��)��x�h4�fU��@�!���������W[�vVV��NBls0��!�d��������(�?�FV�%\���#Xs��!���1�u��\S�
�����3��.��h�I����
J6���>�h�S��_���{2)�3�( ��F���P��2l>
��q����������]��F�K79��Z#pJ�v����]
?W
��>�������!�e���6N�\��.u��i[����"L���H�b~�L���D����Q'�t�q9�J�����YK�x}Q�5;V��n`���R"=�S�(
.|+�jn���sj��v!�Fl���S�<�
VMD;������fK
g��f���
������Q;�6� ��V��4nrGUV���d.��;�x'�!;�jR���W� )R���B��s�K��Wu��E&',�o9
� �g��V�AEQ�K�(��W�K�j�3n���4���"�����)Oy�>�?N������|8
�WIZ ��3�|����E��s�CM5�������(�@���2X�U�5�@��
/P��
W�_�{�
��5e�6����
��w5��Y�|���%*n��$w�49V�K�N�Y>��}�H�* �)q8�.k�&�[�n��#�c:]�g2����Ee���\�O!0��5=>-U��\�,Z��
�5�r��
��
�y���_^���~����7d��o�}������Q �G�/��Q.�|��n ����
���O�7?
���?�'?����� �����~o��w�2�!%@�?��?��?��O�_�������O���w����������������O����#����������7����?��_��;�������������������n����/��_�������w��������������~����G��?�����_�������G������?���� �#G�w������W��
�����o��������p���'���g?;�������_�c�_�������g����r��~�W��� ��w����o�?�������?
?�����_�����������������k�- ��������w�������>�O��/��������/��_������?�_����?���|����������������?8 ��~�����������?��~�#�{8h������������ ���������_�?�������8�� ���?������ ��?=������?�������>��?���o?����?�_����{ ����������
���#
��O;~�w����?���~�_���~�������y�������O���?��_
��f������������A����o�.�k!{��(8�����(S�����G��������/},E���_~��� *� W���!i���~����� ���
�����A(�
�+��� ����;��������?~�W����/���I�_������������r�XS��?�>����������M��FQR,h_�������������h��:�����!��L�^+��TX�[�O��u�+5��w-j��B�H�t��>+�P�H�:�1���D����[L�Np��<U��h'�
����..��������e���5��pk�'6��A�9��K�m�7
��(J���W�G{�c��,���s���b��.��k�����<����s�[!E@����"b+��
v���\U��k��W*`8f��w��������?��
���3C�?C��Zb�U�(y�(�9L�����������L( \���q���\���"w�Q�S$�#V�|��a�_
PUkv�
Z �@��~�7�y}
���:��'���B����^�t�^����H�$�pFE(;����()����
�;��Q^��I�
Ez[���O�|
��U��mL��������{+�����/+;0d�>���3��C���c��v��
t�?{�f������yK��i�W�(�|
9����:,�s}
���IW1#
o�N���z�������}��H�{�����t������w�c �G�
����[z���
���T��w����������b�z�[��y �HY���
�G��[�i�J�kW�������.Vw��!*����e
M���:��x6x�[SM�����_��x]�mf���O�
�x���
��&�x��x8�R������(���C�CJmyL������zU_���p�s/�j
�9������k�&YR�#z�
e��Z�5�����Z���[��-��,�s��
��zt�����=���m#��<~T��z9��
��q\�P�jL����[��T ��+�,�[��sx��x�N����
O��s�C��D�����-K�kZ�f�c(c��0#���8)7xzJ�����%��T ��m*���VG*��o
�����T��e
�������+���u�[��
TUB�$�xq���p�����Z�!��kH�S�}�Oz��IW� }
���tPP��3Q��2y�J�����(>J�DT�jr79#�B9����
6�b
�e�'U��)�W]���]���������k���yX>�Z���[yNg���iU�4�e9{�zq�
(�U��E^'�i�;��=G��g�����"�p� e�{�%=�o���W�|y���zyJ�Z;;��g��������_�}�(#����N<d��q����/����q�l��yFya�u��T�qeN�~���R�����G{���p��OU�g����;�)�R��#q
�����������;���k
��v��. B+
��
���(G��n�$��K
�����
o������|�u�95J�Q�
��S#.Tq
���J�Vbo����X�we����7Q��
�cOC���y��{�.IR�/����[
��o�&�����OBR������@��zJPD������]���.fjl��
��>]y���
fs�(�������}��]E|8L��H��cq����G�&�����W��
�
=�U]^[�r�Q��-+��JNg��/��u-=
y3zX����A2E��zI�
�o0�+]�t����[:\O_���D� t5���?�z�sq��r/:�����k�&� �k.,� ��'q�%o�A�����shCy ��R������HV�*Tk��]%T���%�(�������.���Dv!�o)�����
�Kl��9]�T~
kC
AA]+)zl�F��x�O�J}qw^�k��������
�UKW������fu����_�No��^'?��uO m����P��%UlP���@}
���q���u�cQ�)
R.(>������
��BVL�V�Q<���8�����S&����\gaN��]WO�<�0�I��~��q�Pw������O���b���J�}����Y������Qk����:f���6#x��bM���zJ�U �!����8
���`����<.9*V�������R����
������'��t*�F�k12<U
=;���.}[�W'd��>|�� ,�M��8�����Fo^zRR���{L
$H���:��� �"/��
�*�����W��>oQ�8��b�d�{��T���x���M����*'as�4Hu��A:O�_?tB��<�4"H��{����rN:�-�_��p�R^m=�����<�?����[l���o���tz�D>%�����hS|�MO@�T/��U�Q�J�+^;�'�����n��:��M�6e
�+>c�
�c�BB���U�c�%S��j�p�HQ^�� ��86'9)�K ��~��k���z�uk�3�^�;�=����l�[� .���
�
7�
%#������Q�,d#
�nWQF���g��C���j���8��Y{#Q_��x�l��i5��#j�x?�0���Y�
� ����A7Dm�oU��
x]^��L����'H��>�� ��5���C.�
��G��� ������z���yI�9��7@e�\��a���A�1��T��������r�28o�� �����o���x�DN�;#��{���r���/0���u2����Y6��\5���;w����K5z
���:&��%�P��Q��s/.����K�����k
]���
Ggs���2�]�(Ub�=j�5
�_@ �|`����e�4LB�rk������D�Wb��z5���t�s
���MiB-�o����U�'���|
ko�^�����\�_���o��u�[��z�!�
j.���*��RI��%��Ni�y������PH��U��������rWf��Np
�D�p�ReG������0�D��K.�A�)T�+�U������
�'')��5��J�q���Q��������i�`����fu�Q+[���x�0��P�M��
�q��y�<���t
������F������l$4�wID��1(�<���@���J� ��_N�A�vmI�}?���U�����K��6;������^�nM���W����:6����<F�9�Zd/����E7�z�O�iy%P)
M�j+��[�����<���WjC���S
k���� |;-�2��F�2��Y�M2j� �_�
��kg�l�����J�n���7����)�d��(]W�!��4�s���+���w��A���6�����ZK�w��R'% :[vgNO;�=��C���Om�>���}��S�
W{����D&(�T��.� �m���S�\Q_���<:[)w�X��Xo55�$)
�j�"&@���>��������Nm������/��\ >2���T �#,g�^��
������j=� �@C�$U~��\����
a*��{�E7��
�yZ�{d�G��b�'�����
���N�Vra��/�5O|R; �4��� �)�<�y�F�$%�W%���|�� �1���w�����"����)�1��
H�
AP9�������`U�8�M��:���FD� /�[\#Y�����D�#�e��o-��Jhg7�,4��Y}
��e�R������"�j-�{
;�n� 9,
��f�N)�!_u��TU$b:��w��~����T��~$+�����
��/M����*�CV{3�����
(-k�����qd���7���XwR�=
�6*F���e A �����V��~9/��;��N�o�-K�I�.�U=�c]�}HBk)#��Zsi
���o2�[�p�N�3
*W�����[����}��i����<P�c;(���g[oR8u����O��
�&b�����s���^Qs><�f�v�����YsY
��J�N2P1�J!$4)
[�q`�Q�)~�RA%�#QT���g�"H���5�c���,�P�0y�N��8b�K���VUZ>,����k����e
a��c�y ��F�1z�G�Q`�[�z��}����oA��i�V���;�D���e
Y6U�4���WT ��y9�#�������\��JWk��6�n�<��K�����7�ZUs�
0��_D86'���
�Zm�v����*9'��("��Q�0<^6�J�x]�+���w��i���z�
IeF��k~^ �BY��w@:���gy�|O�y���x|;.��,���TkIpA�������!�r�5Iu��hBx��#����v2&o��\|(�5vP���-��;Z�?��
�"j�3|��� !�0���
��0>�K���P�
�p��
5�%6R������6K6����=L�����
V���S��V�q����2W����Az�[5�z��U�zL
0�U��
)���9h!V�W��o:XW���
�?��o:X �lzY���`����o��8�[�s�A��1X�G�����$��l�=��-��8�3 �t�#hOY�?LR�ZhB��y���!'����c�#
�D��N�V���*
��IO
�j��������{[��85���:����,�W�le
��[�1Q%�o�2K�V��/����U�=�g����=����PR�N)w�EEI�n��0\��*
�-n\|1P�h�Rn��:���|^�c^U�f�g�����:M47����.���NEt������uAM��z�#l�&�T���IBFx�V����]g)��������-�O;�f�=���.��ZXQ��*��]}T�]�E�C���o�P����b���+n6]3���(� 3�����m��2�����v�u��gui-��� ���2�C �^[ot���u�
����������4i*����u\/[Mu9�d��ej�e�o
h�:���L�
�6�m��tM�
{U����n���$�$u��[�cn��g���A�~G�mT���B�p�.�T{������~�����:�#)N��O���8��u�\�����A_�jb>��tI�U��XO���]�>����
.}����r� Q������
"T���MNL6�Q@p���vu
K�6�T?��J�
���s�*��K=}���\M)��~$�����
2�
|� �UO�����A�]�k���c�,����:Ib0>�
���f*�s ���I��#�D��Gw��J<������5�q:�0`|%����������;}L�+�����K^
i�
�B��du
��'K�VS\>7�i���-�h�~�.��[���o�+N�uQuM�j���.�C�������q�@�i��3*���3�/�,���i���92Q#��� ���KMw��-�P�Q�T*nX��T�Tn�.��a.\�G���r�K&�����[>�j���'n�\���
I����3b����(Te��
���y���yP����V�S9�k
t��t1�����[�=������H�
:5���_�rO�
�
��`����� e��
P��"���f6.��l���-;WK�u������\���������M�W���Zw��7���gQISS�
��`5�����UR�f������e<G��t����zB�����8�Zr#��
�p
�u�X������$1��}f�LIR�jg��
���$�w��� ���}�^4���B��ud�(�����:<�yS��G�� Ga^�k�[�.��*M�����=j�-��N2gL����J�A��;��5[�C�K�tv��!����s ���i��r��{l�����k��_M�)��r�S��
<2������E�M����fSo
Gt �V
yv�6o�I�������ks���C��g�8����K��:�*�y���O�l(a<�7'��:n�K����[ibN��?4)I��x32!��/M3�e3���P|�l��[!Je7�)���.���U�����3t�
�R^���]�����k����"omF�����t�Z��������
d���\������d>��(�95Y���UH
�J���(�X��$\=Vt������YsZ]��C?�L��v/�q��6��^����3�\Y[
=�������
��A�tv���C`F��l��d�����Tv
�C���p3����.���S����3����M�f}-�V��j����
�|��~{Vr����im�l�M��_&���u&O���~�L-����k$��z����8�3V���M����7��u7�}
#���������&��!�+ul����G�\oC������.�O��Zm�f���mS`��X
�E�RB���5�O.U���n�X-Kq�L�����6�
+�<gQA�/P�
[2������������Q���y�����k��=������ d�L��(����n�q���O�]��&�_1���m������a���.�����T���?"]��]�[ p>��L�2�������R'���B��P�W��F}�
�pCI_@�a��De�_��A�2��b ����m&��T)~�[��b�� �WY0u,���F
<�\�b����uK!��G�P��tiV���
�W�
�OP�
��[�������o���xG�?�
�
���,5�#�����^% ��y������x��]�%Ah
�-9#6I#[�*� @������������{o���&����?�m� �z�I�x�cHQL4������, �U�)�]p���1�_
���&���QW���ty�j�
�lQR�c���������B�*I_����&�C-�����^w�U]�������?��|�#��.5c���rd�/{m��Tbz��B�f>����J{�����!�:A`p"����&�&`����s�_�
^!8C����|��
��Y�[����k2���q�T�m?��
�������=�M8����T�\��>���n�QUhp�}���#�ol_G�MWkw�UM^65��V:w:���;�RATQ��9��
������- N�K������v[�������pqBEB�p[��T��t�
�j��e<�D$��wS�y�|.��*��U����
m
%�$P
��9O�rr��:��=g'��E�%;�M�En6����A��G��S��9��%�U��S�gY���~�%]h� ��p�Tf��H�3s�G���:�Z �h�%<
u^�/�pJ��]�\���yN�/:��S(
�� �<|��~�G�bI�V��<�
N��%��g�- ��P9������/
�[v�_�+AL�!<�Sp[q��g�����(_��w�>U%�npq%�?�$�9�����v�����Ua$`)��
1�y8�����%�
�C�er�^���H;��{Pynu���
�F���
)���H�5�v������B���_WW9�j�
����<$) $>�Q��j'}������G�lM�Q,pn��K�����t_��`oyz�d$���������`���e��)$;{\e�yFZ,��+�������!d��wy�����MmU���vW���X
�����[�������_;�UU�qT?K�:�e��@5�}��hZ}f���R-������E �n`����VhJ�� �J�\
��)��K���DBm2 ��|�XIz�G���J[��z�e���'hC'�����4��G0'f���8.�@����*��!�:����
���&�|�Wv����6g9��|��i����r���E�k[}Z�W����2�*�5����<�q*�))�
���U/��l���D��
��(�(����R���h5P����"H�Rs�v����C��9g�,!��v/?
�u4�s�]��E�������@��C�U�W�LI|U;�{:��{������$��+T������a���9ITvt��W�h%��wS���� {��p����S�������J<�N��S@����
�Z��(�{O$��
$��=�e�s��!��_��U��'+�EY~�5�Z���z?J��:X+��hv���i)�@���85�+Z��P
��O�}^����T��']�z[�[QK}�T��h]" �����&RM�&� ��-��
X��
�9RH�E1��B����� �g��O�D�Ly@bnYa��)�~�DF����D���)������� ���T�k�0qf���j��he��L/w������
��*C�3"&qf��MC
N��\g;<_������prN������S�
U���<��Rp����}V����UB�3�n)�Bj�cP9��R[��KSx9Qq��3Ru����n{��:�`�l�T��8"hcID&���
�!�
�@�24c�y��u|�Y�Q��*��@M�����/
�Mbz�Mj�%|�$'%h���C7:��u���f�v�+����:l��2_���/�X
�����������\����|�L#Dun���
��Jm��9o;�����J� Ak*o�R�{Mu���6L�Q:�b;��_�C���f�]1��P��� ���
[Q?����- ��(u��O"#I�&��U"����R#g��~��KS�Jsq��K}?$�.������bV�3�lo�����|��4CZ�::�[f��x%��1�6�j[�]�
8[��<
���&�U�z����(
���jB�vp�}���4�
b�^��dG}����&�f��
�4�x��o��=
Nh#��&U������
����\��r���.�H]�N�M��D�
����nQ��Dnl:� �U~��d���eh����?�����������_����?�����tn�����9�+��7������%���P��Z����p����,*uB9e�
�������P
@����=1���%����Pl�`��B%����R)���.����fG���
x�+q9��T^����5z(�>B�����}],�V���QqN�8�r���!t��]�yY�V����� 1���rw����"�m?�/o��2pGS2[�����h��Q�K���b�Fs����K��O��
��:K?�jE��@�`���I�k��E�b�o>�M�����c2��p�'o�p���qK��y%Y���a�X����
q ���H�WV.�?~o��W:%E���TcO��C�����?d2hRkT*����������%�'�Hu��
�d(
g�pB_p]�-���R�=�pBb7
�u�O[�Ea����T���B'CZN�������*`~������E���$�����
���u�,���x���tno%
�6"�#�>X4���l����=���+���)�(��w����
�
���n'�S�
���d��
E�G ���y��,�Pt�S���Y#c2�+
��'o%�_N��s
�p
�/
����@Ly����
���.��
u��DE���O�q�%�
�^�"����~�Q��
�N�Zn��a�4Z�7��^m��4s�|9��!�����p/s�����u�.N����
�I�*��ynZ]���qz�(;�P4
o.��
��C Q�/J�:��]���2�`V������c��/�T��Fr�<x]O�U~wS����
n_ ]@Vx��S��K��K"`W��u�@�����|�T�o�\��-�ZCs�`��
���iT14�����i�����@�Z�qh�H�Y���)^����'F*��]��Wuow�n6���aq�<;�S-W�!u�"�x��HJ�Ae=@D��
Z@�?)*@��
l?�����n�:C��|���v[@~Y���\.y~��@�(�zTy2@
�Y�LP���'�FT�E��8��j�R�?J�V
r��uR�2\I���G�\Y�J�������������d��$��l�.�+7#
�z�8���`@�r����
E ��"|���#�M����B�>]���w�J��@�������������Kc
5���p��8$��H��j5+��%�����Fx������
������r�������u�H�v�p%��Wy�3T
^���������&���&
�4�pk^E��@P����e��)?9nt��Ql�&�n
r��~��d��k :?����!]O��$J\|9,��}>��<�����jC���r��]����/��I������k����M1EQV��0O��V��q����=�4}�z�r�aK-#g��#}�TC���k������
�ep�H����)��b������*����W���+AA�}�L����f��S�~ ����z^Y# � !�Q�sI���O��T�|����1��%ij-w|.iCD�t�L�r�.�98_�Z��(������||���������4}�^��&���*
K
�b�2�Cr�6��h ��.�#KF��SPc�N��@O�����
���3�W��4�8�<����K��XcU=�1�I_0KP+�On��U����aQ�q����Z��=��nS���d�W�[e|�|�V����"%tPe��()�rH
���g7�=&5��:5Z<�Z�X&
��--{mt�W~��R��!
� _"-Y�e�k���A+��u\6
^��m�����5
eL�.�K�K�:�k�&��/�^����#��'9���WQ�v�r�oQ����v\d����<��y��)�f��xX��r���g�G��P����<
5[!�Sb'�=�:���X�:��VuX�ge�
L��SnFR�3���R�)y��t��B�)s����B���C�'�;?t��;�?���z�)�I��}*�r�3���^k���M}<
�
%7����t%�E�+�����s���|U������Z����������(g�xm��C�I@"���NVT�J0Q79���O
�6 �"��]��
�Q��4#�����P
i���;����}7�i�*`�
���D�7gn
a��${_mh��2[;���[�8�V������x
����{��� ��,Z����+T���s��$2���@��{�{Q�Hp�.������!�f�j
��������Ip��k54�R��o�&T�'�;U&%�2F�t,"�}|aE�d��:�U_��#g������#��u[Z]d
���g���[@�6��@����'�R^�X3���-�n}��������>���g{�m�`�]�5���~�G9 j����1u�c���������P��o/�f�t�e�?�<����o���sU7g�W�"5�����YV��G��
�V���_#
7`4��+�~�
G��[~�o�6?9n�_����p3��Tf�\��e.!��a�q �d'����Y�����Oq��F�&��e]g�@����n�$Tu���X�����v��
"A�A>�_�����I������P[u}�
�����u�����t��hz<{
\��
�*��i��&�f��K����+��)M� \4 ����sV_D1�G��J���S�:2�
K�(%�<�t�T�6*,2�M�"k��MQQ��c�(�[~59F
\�U~�
>�uH*<r���}�O4�h��*�@@�b��r�
_�T�(�y��������IO��I
?�v _��(��c�T�
�B�L��*���uI
����.���,ovS3<�^�H#�m'lP�Q���XO��#h
��^ /�0����t�n��v���7�
�M�����B���79
�@����I<VRv::��������G]�<����5;�(�&h�[��t�-BW8["DK7�����z+�����SE�p��J��L�/^8�M�����%A ?w������������:��Y(�U�vW") �Zr�
`�a�K��m���p�'ss}N� ��Z�jz
�%5� 9��:r>m;| �D������B��F_�T��k*�N��
^ �8IC��+$
��YL�T�\{��$�=����8A
�S)��:e��C���7�}����Z���-��E"&V~�� �x�j.��M��<.����n�S
��hHh�� TQ����Z��?��_=�O���l����V��P%x��i��#�b�Buu"����I�O����v�Lyi ���hg�(��C��.�1)[�����S�*���y/ �.�H�J8���x'}���p��w��d��sTz�_�v����������o�<�mE�/�����/�%��}BR&b��S�V����es�
>p��V]
O6�
N8���\:�$�$�+,$���NV�Y@�=��$0�u�;��m�l�S���K�s7b8@�^�����w9(0����f��,FR?2�)-����Q���P�����
�.nK Ua�j�E���za�
I��-O��k(,��xZ��y�@�������%����T�����w^_��?Lvx��u��s
X��
\����5���Y������.�!�b���<�2�A=�U
D�
Z�3�����<�i��(6q���ydr'��D�4�H������������R�
^
�E���Z����Z���p�9�vA���:C��N�6g
�@
T������B
�2�!xJ�B������[�t��u����� n��"�T���
�iEM+m�
0������v���}�6��h`=��n���.�6�a`����
�xt\D���l��
��U����uo��0W��Ec����d��d� 3�2e~����?�_�������8�E_��
l������s6����O ���.�YE�+o�d4j�SU�����.RD��6�%�L;���KB���j��KW���J��ZGK�7���2F�K
`
d���Ct ������J}�3����V�>`2��as��j�
���0���^� S�`Jb�z���E���p�V6�U�,ei�����CX'p�2x��M��*,f��J�����5� k
���7���zX�D���TEI����Zj�`sk��t�"��� QR���e}\*�0�����4
����93�����
����c��,0�~?���U �
P�U��5U�,�8����KT�5^�V������&��
���~���Gq��_N�8��+�s�B
"5����_b�V��j�8�MA�L�N
T^
s ���n
\���W��$5�}��o�I�!�BiwpJ�9�����@��^*Et;�06
�W�j�k�:�sz��(����?t5?������5y�A����v����,���c��"jf�P���hT�C�&8"�W;��=V�2?_:s�]��������������q
���5v��S�N�*�H����K�U�������5',�����.�G�
��zO��z��m�~��f�}WB�P�d��N�U�c�����M�����O������M���3YP70:����X ����3�'�s<d�"M�c�
��h
P�7���s�w5��Au���y�%_E�]�������)]�c@��Nv|b��b�rZx�&�W�q��s��j��(�M��WP�h*T�/��y���0�T�*�X
N�h�k���&��/h�%Fh�����bPW�5�-��h�Ji�o����8bx>K���C
��D
�I
�g�<���� %���)wu.�����"B���Umls(\Vq�]}��
m\4'_H���(s��w?�����������g�kS��^���(�&��;!D��|����c(�2j�s��N'�{^�3Q~T��U�p�����X���B��L���>�zD;��AK��m�E��
.� �kQ<���-$o����/k?I\(�\��� �W�IH�s���3�e�����y�:[�X�</���:`������2/
j���DP��02����T��7~ 94�
�|D�K�|j���K���T�P�3�N?�����.~1�uA��B+4WR��KI�D����0�b��&�$�<@n$W��x)Q
�?�Rj�
w���=
^2�W��[��t��>R�����y�@�Kk=��<;+6r�H�������4a#�������M^��H��r�����@�%��#�P$j�X�ph��8����A�����Z�|�1]��
�Eo
i!�sTC��b�5�R���?���C��w�&��x4��nu�9������
�%���>��U�Y�]�C^X~�;t*��Ym�]vW��sL��1�2B
b ��~�b��R��Rn��Z��8��K�!u�y�Uk�D�s
"��[/E���-(���{8f;K4�+J��0�����)j���_����������W�m���W)�j.WH��jp��>�}���
U��u�9
g�/���d��dEp:
�����$M4��\J���&Ct����Dr�>9��r�
6N�I9��@��+��M�[��#������{�4�������Cs���2
�������J.�(l�JG�
|���:��Sm;��T
�*Va��� ��S��z`��z�p�o�f
'�G-�b��zi��
�j��:��)����
��U��K\ ����(`��/yg���"���vTR����pjE������@+ v�J�
7 ��z�|M��/�L�>��M��Kz
|����K��tOM�Zb�>��7�<�9N��^�Z%��������,r���� u(��v��z���,���W�~p��"6���}i{���g�Wd�l�l�pSMyh�-���!)�^I��E�����RjY���}#��C=�����������<"#����`6���{����[��B��wg�+����C��
e�Pw �1��K�h`)C����B�2YK�!�n���a�
�Ve$�G���5)� ��
���^
����%�t���o��%�����}pa���&���d�r�Io'0m:�e� F,� �!�6������������5toP�i���yk*���O$�8��t:_a&�l�"?��6]�Y3�K�e��'2�Buc�c�k���4$m���
������C*z�~��a0���<
/��k57���B2B����[�_
8.T����6B�g�����
c�����<.�U�xD�S�6o��,5�G�����
x�%��LC\��C �����F[��{��f���O *��N���%Sw,��h�]���������y/#�����������H�
v`�2�o?�s.�66���@Ur{��Q��H����+��@�7C���
)�rZ�x��b
�NRb3������f(�����0s���3�I�`.0{LO�����C=.�����n
�e�
���@�XC+'��f����
]���=?3�:�?�Gln�2��EK��G�Lb�qp-
�8��-H��
�B|�f���4��ltl��J/;�����&�;�w���=�����
1�0L
L��mx���:`�31<@���i��$�g�^�1�Th��07�����6is+��a�:���F��|Gw �}
p������e���0;��}G�x�`��
���nac��(
q������$0�����:�L��������h4�0�v4/|��r�z���Qnc
�b� F-��*��� v���&�������CX@�������bPs�!ON�uSEy�"�h2 ���>
��q�]��*�
�����H������A�u����2</��H���x���2k��"����BF�q �����a
1HP�b��gDS���2S �������/��
2
���W��=W{��r�W���D�|�:�
8��0����
}f�P�t<L�)8�[�
O������������Gn������������?k�n��a]Bv;�m��2���.C�a>=���H�D�wx��1
w�q�<��tz����:L���z~KF�Bv��s
�h�~�!����hV�f"��T�b�? �& ���&������1�����L��`(V�A�|��tmH��
&�e� �
o�*����0������8��2�B��/Looy+�1���,c1�:x�'���h|�jj7�6�S4�������c���G��G���������j`�Q��2���e
���1�@���3���b����K�/��'�������lf��N��zt���$�
>��`@
h�)n�_`C!���[!< [�jf�":�w��Fm�l�9ub�1�/��xB�7��{
�����y��M
��m<�����p��M�#��
���i���yL�Y^�'��,������
S
��w�����&
�5�~#��q�o���{.(L
V]� :�j�N�3 ]��l��EQ* _Z�Kg�L.�C�k���tj1j�W;�bu`\@����6c9t�:(i\�s(��!����
n�pw
�Bg���EcC����������E�>�������C T�5���
�d�jmt��l8t��3�
����,=��;<�c��>f�?xX:�H(BX�r�/Us� �$o�N�6� 0
���K��1]q
��v;Ja���%�y�)�?<V�
��I��$�2���3��OMB�"����I� C�P�,���Us������xN0�Z��W
�V
(j^���.��x��������=)�8X=nMa(�6�t�a�!
�3����ihw'Us���04)��M��
e2��I<EF���������0������vM
�%��d +�{��|�� ;����9.7�]�����'��6i�a�����;��3F� Fy$�"FkH�
m���y���;���I�f,�������m ��)8
�
d��b�R��[��d�b
L
s��d�3z�@�c���i�p�.q�����g�W������`hP�G\����A�C�D�
���A9=�l�,U��mX �}��g3����
XF��A���3�������3�7�������c�:6�/�C:���C@�E0,@����6si�kt��8�
bDSf��4`�~:>����|�� 3Q�A�@�@�7�
�0\�"8�C
�X�v�������8�}��h��>�
�S$61�
���\�dW�9�Mf�������`v�mq
��:���t2�*�$�z���L�3
s�t0$���9�Z�]��
�F��2g�����;�
o`<y
S��Go [4�f�\���k�B=�����&��Z
����qt��-y�92���hwQ�Y\1,mA���
:�`q����o��:w1������
���#t���C?|���'�5x��;�����,����c�dF#
����������T��2����&��Z
�
��?�r���
+�<CLb���<��::��V�Fa�����b�&Ty;�XKco3�P��`
��Iiw!�0�DF�@�s�z*���{���-�[M��b�����:������X���k�����B�# &�m2{���c��nx�/7h2^k�A�h
�:Xr]�%�`c6S�A`� ���w��
c?K�"�����9��|�A$[=:j����h���m0����`XCP&����8����us��h"���a~U��t�L
I�g�1��L���vM(���[��{���F�M���g@�@�<����P�Mf�����h��#]�P���
n�n������+�%����>���O�p�6���l��gc
l���������`�P����c`X�����&��v��`.���g�v���"�������?��y����.��zzH��{ -����T��tD��|:�ui��L����L���u�Nc��e_2�j�x��
��K�g�0���5=��
`\����%
i1�"�:oV��2d��
u9��c����`�������;��
�"|a$%X���NeN
k
2��
���FA�&srh+�&?�ct����,1�A�W
yC���?�]� c�+� C
�lR���2�f�����<�y��ir�f��L
#0}N�8��*lf�@���#���� �'��������3kL
J�g�����������a@
+O]��b�
�0�O�wl��C(��B3���\. �A"Z�$Ig����*s�y���@�5l
=��"��
l��\M��n@��N2D?s��
b4�~�
v=f$�r��u\S������]�eH�.���� �����'�\@3N����4U
t���9��mc�q���D4�V���}�Xl�Wy;
:�w6;�0V*`���T
��Z�}��
=��g��&�ey<���1��t`"�dj�Y=X"\�
������LWe3��\]���#Saif������
�����&C�6��>#Q��SG�����~�o7���.8���o������0Y���P2@+bJ��,��Pq���q�F�a�b�!%�����P
!�;4G��q�1x=������d�0�y��sm
(�~�q�>+���
jU�X�GC���d�����`Mr��i�����^�w4�
@,63c��W�����`)kU�1B5���qad:4��A�m���K����f*�c.$f�k��������<4}���3���2�O���r��y�m:�
h�c�����&]��;����j���9-�QZ�5DK��
�mp`��Fh��Q6dP�
�����@���H�o0�T�������z�0jjB��
����,��=:1q6�s��P�@���� ]����4�~C2�b��
�g����.C�~�����&y����]��k�I�
$A�����0)
4&=S{}����t��
uB
�)0Y�p��M��1! 8�3[]�p�t�����3J�;�
=��4�P��]�J,s��
bJW3��B�8:J�� e����p�������fh
U|�
���ej�.c�Rp�����0�%
s�uy���S� |���a�3}*S�1[��fn��nv
Z�
k�'���|��QgC���a}3� :|'��M_*�Y�� �D;~�����N�X�Cd�F�i�#=�����|�r��Ogt���b���]M�3 n_�l���-�x�^����i/��g��y4�;��I��#g>
��3>�E�b4�]:���������9���N�k�x�]��p>�Q�'�;�k/
B��?���4�M������5�f����-<:=9�O� :�A���Rc����;H����DOQi�x��b�����-�'�~9[h����H����j(���\�H�HOf�����2R�^TU
N=����B���|-
-L ����ryd��p<V_�g|���z�(B#���2�����YB���L��W�57\TI�].�l�Ax9����`M�0�!P
�Y`� s�����hX<B��F�x<�s'��I?D�F��(�M��e���r0J���a6��)'~w�*`k/��[<4?��h����Or���-���1��CVF�v��_��B���l��q<����j����w�?�r������Jsbu�H�;����=�u�=�{�~�����s5�e����M��e8��
��������(�
������
"���U3�j���yJBGU����o�?L|���OmzS"������P��M��=-)~������x#�V�e���aWq&8�;,N������y��U�U����������X���Q, �w5�o��8�B8P??�O��=o4��w��i��{��\�����5.�E�Fz��z�[����V���:���f�*|$
������w�������?�������x����\�#j1��//�jN "ff�
�Bx�nF�J�(}�q�>s��d��I�!�"r��
����|�v�zUp�,������OO��s�N��9�3.�������5_�����f�Z��]� ������_7}���a�������-$�I)~
I��"�?��"�3A�)
L�,9�|.���{n�`�-�_��o�����mc2/�
�>&��
$
�O�b�;�
�-H�����X_���[�>���_���U%��������\~������������k��A���e�?��RW�o��f�K�&u���F��9��L�=�
W��E'���>�;#����9��������rj�}�i���]���� r��uh���[�i@���+�W�:��P.N'�Dx39F��PS��oZ��
S��
��� q�Uc�qqu�ES(qWk�m��������WJ�L��Y2;'Z��x�����f�[������_i�\\m�k��v �������
�p �����=���,�������~�R)~dN/D�p�g�t�vr�S�
x�X��^��
��?�X�
���E����
>
N�1�t��x�������x���j��r���gk��}h�������o�V�]�x{����������M��6I��u�$y��$��o�I
�I>%��K�DjIn��|������M���*^c%���
�?l}�tc��l�; �o��\�����3����N��\W�n� >}yv��3�������ld��������?L�.@Z����
T��!�B�D�����&�l��96}��m�<���
�'����m��C�
�u�|@�����R�pT�G����H%�J=����o��}��t\� P/P>��&�l�����2������X�MB��_�_{I@P`�X
�����|�P;�.Pi�S�6d�`/�#}�������u����������a���L�U�b;�rJ��_O��8\|��#t���rD�]���L�R����������_�p>Y:���s��
@�
+�Pa
/1^;���:$���#�
���� �� �_� >9->x~��X��
�||P��I@����j#0M�������j<GO��b�|��0�N�Y
,h�h�|�'����'������&
Gm���2�_� �����
�
��R������T��(�i>��[Y�?���2�"�N�T��*��R��U���o�y���J�;_1����s[g�/��W/y�u
U�V ~@yvF�
�q���Gx2x�����>7��:�c��� LD�l�r0v.�
��T���(���d��Bb���|��'���sl����8��i����a�� 1���>.�x�j����a7l���b��P�o4m8����re4�2�t�5*�Ex�sY���V
���
N
&�9���
��OO��_6?>9>==>=���u�,�!�7x2<9~�w��WG�����8���_^��
d��!��u�+ 2�c4\����a$F�g���������1'i�l%eD����(�0��l����8
'����>W�p�'�!������j���D���
t�'�A�����@���q�qg9q�
��v� �hT�R�
~H�|U_L��x
z#�]��*��*�Q&�?�������*[ ])}V>�Nlk�&+��
S��4�j����#�d�U�!�X����b�fEH6Wa�+l�{3�$������'�O*>�]�Ql��^p�d;�`5����f����|���,e+��,+�p�������c�����C0�����
�Z���������d(
��l���{�
����Ar/����h�#i�G������vU��!3LD<��q��c��89�� 7�W�G������Q����)/�A�G��G�W{{u�r
�����3<%�
''���!���=�������
M�}�#h~N6���E�
gWf�����%���l 1� ������Km��2>�k�5�@{uX�\�����
l�O�o�W>�����? �
�h?(��N(���|)�Z�%> ���\���5~F��*
q�@b���Q0A
�\��l*����b�&H<��T������I�w2��nW�y�������v�`?��G�@�5U�[oDNz�>}��'�^,#N�����fF��a���JF�&;�g)��NS?�>�8G�
h�D�Z�����O�S�Q xSd5{G����f����X�*�$���TCag�0s�c�����0��h��S��P%�����X����I�L�
��
����Q�TV&y'�N��x���b�
��
��������i��
K��<>:�=}q����OK��cq�
�M]N���,g�j(LfJx{���:�W�$
;�gEn���o�ON��z9|����G�����S�Q���`|H��X#��n
�����8Wj��
S�P[��4�'�W'g ��"�U��~Ts�������,YKvq����
�M���R�~��kQ���� �o� o}L%~����n 3�V�/o�O+g>w��Y��e,:-�{�tV�&��o���]�)3�X
�r�
���u>��j^`qEu{
xc�������L%���
�(/�yY��7�X�y�\�H
U�Q��"�^m$6���B? ��K�9��4UE�p%��*�69����I��'��j
���\���S(���p�oo�z�3���Y��kN�?���_����,��CAO�uE�6��H�B�,��BA�F�ia�8����'o���d%�Xi���}(�� +���
>&[$�
�MM��lQ�5�C@�����qL���5cN
��T2J�S!�|D��o��1
��>������d���f�'}}g��v����o�y)�Da/��n�^R����������J���s���p���A�Q�Ge�k����J3D�9�({�[6�w�D�����"%��q��B�u��"\������0]
+�����O�N_
�pa ?>>:�������S|�g�O���E�Cz�[I�0�{�J���qx>u�{�G����V
.y
����
������M�������$�\{aN�7���<���^�k���p<[{�g^&�c�B�����#����3�M����������s�w6�MO� ����N��89��Y���� DO��
��{���������?,�~�f����
���wP��c �'Q����
��!��:�}G<*6~9�[��F��'�Xl�eH�yv��3��U�N������
j��R�����s.G�����j���.��,}���Xk�4�0�-����9 <�������Q��� ���f�Gk��F����i��f"O9
|ME���N5�xc6z|�+�����2����w��K<�W&�0
w����T�9y -7{���x�T�"�`��q�w"��2�X���pt��;� ��M3��`i2���r
�m�mk��/���q|�eQ�coKc��`���2�w�D %1��
��d,|��q��8
�6�F<sO�
~1�=HIqF���]������7K��S�����?!�0
S�me��go&�A]�xJ
`
'_�L�������i�
�-�z�`�ZU�m������-�T#/
�X[N�U�s�R�L�#��=M(
���<�($������"���
83K�V���y79K��������� b��0����g3�K��r�)���>0F���o��r���cj����cs���� ��Gz</�,�6�������l`�-{��\
��� �<8<zv��x3���;��3j�0_�pw���1�W���w T�<����z����*w/�O������g`����p[�
��w���C���
R#�I�BM���������g�����\\{64B{�U�q��5]�K��@5�l>ILlyZ��c�f�7F����I"ow��iC��x�J�����s�dx�t����!D�b��zpn�����qQ
������ae����
�����%����M��i�!�K�K�f������j����5�����Y�\*�Xa�U(H�kxY
L��%���h���YV!��K_����F��!n)9G��$�
#{�;�� D��z1����� �a
=���w��������/w*��T^�f8'��g�f�O<�HY<p��z�������������]u�6���z�?%o�������d��m��������\��D����7�_�Vfqh�N�q��*�
�[[f���?�A4#M
k����Bb��n�;���
�1b��F���p�b���/���/�Z�el�gwW�p�j�������;^���*�U�oDaQY��0R�r���n����z�H�M�0��i�o�|�V���7����W��7��Rk
��,R"�����g��F8�Yx{���b���M�}
8P/I� � �����E����=� �j}_t6�E����6l�?�
����n�{6�{��2������0~d�q�xC4waa�h������
96�5�>���VeO��;�
#.�����_iH6H><�Op,���yw6�:�(X�����qA|�
����={{b������n����.���i����T,����K�m��L��N�\��
�Lv�u
��������G*�r
L�(���"�����t���S�
{h�"�����r��P�����k�$�M���3_����@�
5%F���*V�G=e�
�N��T�8'����YR��rweM���h���Y!+s���K�g���4��nU�4
�^����+)����^��S��4v�2[����z����m�r�`U��/
@�.�@j��WQ
���)��f���$���N45���x����b����'1Fr��
��h����{Q$Cw�|��3N8�����0����q;�����.�T�!���b���k
�|t���A�/e#Z��'
EH
-<�
��\�N��I=�By���������C�H������q��+k��7�T
�64�����)�P
.�.>Y�*�@�W Dd�V"�
�'����������6
��X�my���L���6��[��^���2�M��L�����/�l���J�KM�7e�aR'�qg�:��*+�d�Y��9}�K���S��Y���!�<��~�^i��@'1+
�{b���E���i�d>se�
�
e�m��l'���@� H�4�X��e�����;�F��Jvc�������G �9e��eI)B�qr��G_��n��w�B�J�? +z��O�\_�h����u��~m�d
�?�����r"Ru�rK�
�l�Ri�B*h��L��o����{����Q��X'�yr��w����p��j�}F�B+���6��zk����5���\�>
�{h�@��T-a�*o�pF���������9M]9G�fF����22������vL��x��X��{�=�a ����A+�L����FE�6�Hfm�����&
�'6�]N�
��(�cC2Q�T�f�Jys���B��yQK$F^7��k�������H����M����
��MBWe����$���I�5T
��Y*d�ZU��]z����\��B�����s���3;�F��v���-�Y�;(mk��*r��m��I#P�,y_
����K4��JZW������Ew����9�KO��
���Hi=PVf�dD�P3��M��
��4n����]�5���7��O&�# (�X�F^o}�^�a�t�6^%
q����q���n �;�T6T }��7M��K�g��x��iM��*�
�����J�6?�7��1��r�h&��P��
TW��^�H$9���f��<��RX?�� w�����E��~�
J2%��j|�|z��kWF�R���l2�P���&fXsU���2R���t>���b<'w��P�7�D
5�T��e
�0[F���i#���:��I ��V�YuR�=v�s
��oE��Ii�
�ES���c}7�Xp�� ��.1!�=b�@��X��w���
�$�YS����� �|+@)�!������w)G
������{w�{�
��{Fa
�6�� �)�\��7n��[>�����ToQm��`��t�*�QlrC�����l6����������$\��|��
��6�f���V��4�����c���*J�V���(������VO=�m��Xt�$-v_A�8������N
���x9�0�����b��2{����fc�
��I�g��� y2#~�^R;�w�t3�I�wZu���`�?�'�;��_�gSg
�@
h��"��/������e�����9
��_�=4����Rir
e����\Z�h
��j�������� ��<6�F6g1�_�E�uB*v�1*���9�Z��T��$C���\�C^&��XG�XB�� ��������*���=�l������$�_�O�o�����T�s��
��F�.#��
{�6��T^\|8�w����y��j����lJ���������n/�
���R�o���=�����Y�*(��On Tue, Jan 12, 2021 at 09:40:53PM +0900, Masahiko Sawada wrote:
This says:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode.
Does that help?
IIUC it helps but not enough. When wal_log_hints is enabled, we write
a full-page image when updating hint bits if it's the first time
change for the page since the last checkpoint. But I'm concerned that
what if we change hint bits again after the page is flushed. We would
mark the page as dirtied but not write any WAL, leaving the page lsn
as it is.
I updated the wiki to be:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode. However,
more than one hit change between checkpoints does not cause WAL
activity, which would cause the same LSN to be used for different pages
images.
I think one big question is that, since we are using a streaming cipher,
do we care about hint bit changes showing to users? I actually don't
know. If we do, some kind of dummy LSN record might be required, as you
suggested.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On 2021-01-12 13:03:14 -0500, Bruce Momjian wrote:
I think one big question is that, since we are using a streaming cipher,
do we care about hint bit changes showing to users? I actually don't
know. If we do, some kind of dummy LSN record might be required, as you
suggested.
That'd lead to a *massive* increase of WAL record volume. It's one thing
to WAL log hint bit writes once per page per checkpoint. It's another to
do so on every single hint bit write.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Jan 12, 2021 at 09:40:53PM +0900, Masahiko Sawada wrote:
This says:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode.
Does that help?
IIUC it helps but not enough. When wal_log_hints is enabled, we write
a full-page image when updating hint bits if it's the first time
change for the page since the last checkpoint. But I'm concerned that
what if we change hint bits again after the page is flushed. We would
mark the page as dirtied but not write any WAL, leaving the page lsn
as it is.I updated the wiki to be:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode. However,
more than one hit change between checkpoints does not cause WAL
activity, which would cause the same LSN to be used for different pages
images.I think one big question is that, since we are using a streaming cipher,
do we care about hint bit changes showing to users? I actually don't
know. If we do, some kind of dummy LSN record might be required, as you
suggested.
I don't think there's any doubt that we need to make sure that the IV is
distinct and advancing the LSN to get a new one when needed for this
case seems like it's probably the way to do that. Hint bit change
visibility to users isn't really at issue here- we can't use the same IV
multiple times. The two options that we have are to either not actually
update the hint bit in such a case, or to make sure to change the
LSN/IV. Another option would be to, if we're able to make a hole to put
the GCM tag on to the page somewhere, further widen that hole to include
an additional space for a counter that would be mixed into the IV, to
avoid having to do an XLOG NOOP.
Thanks,
Stephen
On Tue, Jan 12, 2021 at 01:11:29PM -0500, Stephen Frost wrote:
I think one big question is that, since we are using a streaming cipher,
do we care about hint bit changes showing to users? I actually don't
know. If we do, some kind of dummy LSN record might be required, as you
suggested.I don't think there's any doubt that we need to make sure that the IV is
distinct and advancing the LSN to get a new one when needed for this
case seems like it's probably the way to do that. Hint bit change
visibility to users isn't really at issue here- we can't use the same IV
multiple times. The two options that we have are to either not actually
update the hint bit in such a case, or to make sure to change the
LSN/IV. Another option would be to, if we're able to make a hole to put
the GCM tag on to the page somewhere, further widen that hole to include
an additional space for a counter that would be mixed into the IV, to
avoid having to do an XLOG NOOP.
Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Jan 12, 2021 at 01:11:29PM -0500, Stephen Frost wrote:
I think one big question is that, since we are using a streaming cipher,
do we care about hint bit changes showing to users? I actually don't
know. If we do, some kind of dummy LSN record might be required, as you
suggested.I don't think there's any doubt that we need to make sure that the IV is
distinct and advancing the LSN to get a new one when needed for this
case seems like it's probably the way to do that. Hint bit change
visibility to users isn't really at issue here- we can't use the same IV
multiple times. The two options that we have are to either not actually
update the hint bit in such a case, or to make sure to change the
LSN/IV. Another option would be to, if we're able to make a hole to put
the GCM tag on to the page somewhere, further widen that hole to include
an additional space for a counter that would be mixed into the IV, to
avoid having to do an XLOG NOOP.Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.
Sure, as long as we have a place to store that information.. We need to
have the full IV available when we go to decrypt the page.
Thanks,
Stephen
On Tue, Jan 12, 2021 at 01:15:44PM -0500, Bruce Momjian wrote:
On Tue, Jan 12, 2021 at 01:11:29PM -0500, Stephen Frost wrote:
I don't think there's any doubt that we need to make sure that the IV is
distinct and advancing the LSN to get a new one when needed for this
case seems like it's probably the way to do that. Hint bit change
visibility to users isn't really at issue here- we can't use the same IV
multiple times. The two options that we have are to either not actually
update the hint bit in such a case, or to make sure to change the
LSN/IV. Another option would be to, if we're able to make a hole to put
the GCM tag on to the page somewhere, further widen that hole to include
an additional space for a counter that would be mixed into the IV, to
avoid having to do an XLOG NOOP.Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.
Sorry, I was incorrect. The IV is 16 bytes, made up of the LSN (8
bytes), and the page number (4 bytes). That leaves 4 bytes unused or
2^32 values for hint bit changes before we have to generate a dummy LSN
record.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Tue, Jan 12, 2021 at 01:44:05PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.Sure, as long as we have a place to store that information.. We need to
have the full IV available when we go to decrypt the page.
Oh, yeah, we would need that counter recorded since previously the IV
was made up of already-recorded information, i.e., the page LSN and page
number. However, the reason don't WAL-log hint bits always is because
we can afford to lose them, but in this case, any counter we need to
store will need to be WAL logged since we can't affort to lose that
counter value for decryption --- that gets us back to WAL-logging
something during hint bit changes. :-(
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Jan 12, 2021 at 01:44:05PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.Sure, as long as we have a place to store that information.. We need to
have the full IV available when we go to decrypt the page.Oh, yeah, we would need that counter recorded since previously the IV
was made up of already-recorded information, i.e., the page LSN and page
number. However, the reason don't WAL-log hint bits always is because
we can afford to lose them, but in this case, any counter we need to
store will need to be WAL logged since we can't affort to lose that
counter value for decryption --- that gets us back to WAL-logging
something during hint bit changes. :-(
I don't think that's actually the case..? The hole I'm talking about is
there exclusively for post-encryption storage of the tag and maybe this
part of the IV and would be zero'd out in the FPIs that actually go into
the WAL (which would be encrypted with the WAL key, not the data key).
All we would need to be confident of is that if the page with the hint
bit update gets encrypted and written out that the IV counter gets
incremented and also written out as part of that write.
Thanks,
Stephen
On Tue, Jan 12, 2021 at 01:57:11PM -0500, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Jan 12, 2021 at 01:44:05PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.Sure, as long as we have a place to store that information.. We need to
have the full IV available when we go to decrypt the page.Oh, yeah, we would need that counter recorded since previously the IV
was made up of already-recorded information, i.e., the page LSN and page
number. However, the reason don't WAL-log hint bits always is because
we can afford to lose them, but in this case, any counter we need to
store will need to be WAL logged since we can't affort to lose that
counter value for decryption --- that gets us back to WAL-logging
something during hint bit changes. :-(I don't think that's actually the case..? The hole I'm talking about is
there exclusively for post-encryption storage of the tag and maybe this
part of the IV and would be zero'd out in the FPIs that actually go into
the WAL (which would be encrypted with the WAL key, not the data key).
All we would need to be confident of is that if the page with the hint
bit update gets encrypted and written out that the IV counter gets
incremented and also written out as part of that write.
OK, got it. I have added this to the wiki:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
wal_log_hints will be enabled automatically in encryption mode. However,
more than one hit change between checkpoints does not cause WAL
activity, which would cause the same LSN to be used for different page
images. This means we need a page-stored counter, to be used in the four
unused bytes of the IV. This prevents multiple page writes during the
same checkpoint interval from using the same IV. Counter changes do not
need to be WAL logged since we either get the page from the WAL (which
is only encrypted with the WAL data key), or from disk, which is
durable.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hi,
On 2021-01-11 20:12:00 +0900, Masahiko Sawada wrote:
diff --git a/contrib/bloom/blinsert.c b/contrib/bloom/blinsert.c index 32b5d62e1f..d474af753c 100644 --- a/contrib/bloom/blinsert.c +++ b/contrib/bloom/blinsert.c @@ -177,6 +177,7 @@ blbuildempty(Relation index) * XLOG_DBASE_CREATE or XLOG_TBLSPC_CREATE record. Therefore, we need * this even when wal_level=minimal. */ + PageEncryptInplace(metapage, INIT_FORKNUM, BLOOM_METAPAGE_BLKNO); PageSetChecksumInplace(metapage, BLOOM_METAPAGE_BLKNO); smgrwrite(index->rd_smgr, INIT_FORKNUM, BLOOM_METAPAGE_BLKNO, (char *) metapage, true);
There's quite a few places doing encryption + checksum + smgwrite now. I
strongly suggest splitting that off into a helper routine in a
preparatory patch.
@@ -528,6 +529,8 @@ BootstrapModeMain(void)
InitPostgres(NULL, InvalidOid, NULL, InvalidOid, NULL, false);
+ InitializeBufferEncryption();
+
/* Initialize stuff for bootstrap-file processing */
for (i = 0; i < MAXATTR; i++)
{
Why are we initializing this here instead of postmaster? As far as I can
tell that just leads to redundant work instead of doing it once?
+/*------------------------------------------------------------------------- + * We use both page LSN and page number to create a nonce for each page. Page + * LSN is 8 byte, page number is 4 byte, and the maximum required counter for + * AES-CTR is 2048, which fits in 3 byte. Since the length of IV is 16 byte + * it's fine. Using the LSN and page number as part of the nonce has + * three benefits: + * + * 1. We don't need to decrypt/re-encrypt during CREATE DATABASE since the page + * contents are the same in both places, and once one database changes its pages, + * it gets a new LSN, and hence a new nonce. + * 2. For each change of an 8k page, we get a new nonce, so we are not encrypting + * different data with the same nonce/IV. + * 3. We avoid requiring pg_upgrade to preserve database oids, tablespace oids, + * relfilenodes.
I think 3) also has a few minor downsides - by not including information
identifying a relation a potential attacker with access to the data
directory has more chances to get the database to decrypt data by
e.g. switching relation files around.
@@ -2792,12 +2793,15 @@ FlushBuffer(BufferDesc *buf, SMgrRelation reln)
*/
bufBlock = BufHdrGetBlock(buf);+ bufToWrite = PageEncryptCopy((Page) bufBlock, buf->tag.forkNum, + buf->tag.blockNum); + /* * Update page checksum if desired. Since we have only shared lock on the * buffer, other processes might be updating hint bits in it, so we must * copy the page to private storage if we do checksumming. */ - bufToWrite = PageSetChecksumCopy((Page) bufBlock, buf->tag.blockNum); + bufToWrite = PageSetChecksumCopy((Page) bufToWrite, buf->tag.blockNum);if (track_io_timing)
INSTR_TIME_SET_CURRENT(io_start);
So now we copy the page twice, not just once, if both checksums and
encryption is enabled? That doesn't seem right.
@@ -3677,6 +3683,21 @@ MarkBufferDirtyHint(Buffer buffer, bool buffer_std)
{
dirtied = true; /* Means "will be dirtied by this action" */+ /* + * We will dirty the page but the page lsn is not changed if we + * doesn't write a backup block. We don't want to encrypt the + * different bits stream with the same combination of nonce and key + * since in buffer encryption the page lsn is a part of nonce. + * Therefore we WAL-log no-op record just to move page lsn forward if + * we doesn't write a backup block, even when this is not the first + * modification in this checkpoint round. + */ + if (XLogRecPtrIsInvalid(lsn) && DataEncryptionEnabled()) + { + lsn = log_noop(); + Assert(!XLogRecPtrIsInvalid(lsn)); + } +
Aren't you doing a WAL record while holding the buffer header lock here?
You can't do things like WAL insertions while holding a spinlock.
I don't see how it is safe / correct to use a noop record here. A noop
record isn't associated with the page, so WAL replay isn't going to
perform the same LSN modification.
Also, why is it OK to modify the LSN without, if necessary, logging an FPI?
+char * +PageEncryptCopy(Page page, ForkNumber forknum, BlockNumber blkno) +{ + static char *pageCopy = NULL; + + /* If we don't need a checksum, just return the passed-in data */ + if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum)) + return (char *) page;
Why is it OK to not encrypt new pages?
+#define PageEncryptOffset offsetof(PageHeaderData, pd_special) +#define SizeOfPageEncryption (BLCKSZ - PageEncryptOffset)
I think you need a detailed explanation somewhere about what you're
doing here, and why it's a good idea.
Greetings,
Andres Freund
Thank you for your reply,
On Wed, Jan 13, 2021 at 12:08 AM Stephen Frost <sfrost@snowman.net> wrote:
No, we can't 'modify the page format as we wish'- if we change away from
using a C structure then we're going to be modifying quite a bit of
code which otherwise doesn't need to be changed. The proposed flag
doesn't actually make a different page format work, the only thing it
would do would be to allow some parts of the cluster to be encrypted and
other parts not be, but I don't know that that's actually a useful
capability or a good reason to use one of those bits. Having it handled
on a cluster level, at initdb time through pg_control, seems like it'd
work just fine.
Yes, I realized that for cluster-level encryption, it would be unwise to
flag a single page(Unless we want to do it at relation-level). Forgive me
for not describing clearly, the 'modify the page' I said means the method
you mentioned, not modifying the C structure. My original motivation is to
avoid storing in an unconventional format without a description of the C
structure. However, as I just said, it seems that we should not set
the flag for a single page. Maybe it's enough to just add a comment
description?
On Tue, Jan 12, 2021 at 01:46:53PM -0500, Bruce Momjian wrote:
On Tue, Jan 12, 2021 at 01:15:44PM -0500, Bruce Momjian wrote:
Well, we have eight unused bits in the IV, so we could just increment
that for every hint bit change that uses the same LSN, and then force a
dummy WAL record when that 8-bit counter overflows --- that seems
simpler than logging hint bits.Sorry, I was incorrect. The IV is 16 bytes, made up of the LSN (8
bytes), and the page number (4 bytes). That leaves 4 bytes unused or
2^32 values for hint bit changes before we have to generate a dummy LSN
record.
I just did a massive update to the Transparent Data Encryption wiki page
to make it more readable and updated it with current decisions:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Tue, Jan 12, 2021 at 12:04:09PM -0500, Bruce Momjian wrote:
On Sun, Jan 10, 2021 at 09:51:16AM -0500, Bruce Momjian wrote:
OK, here they are with numeric prefixes. It was actually tricky to
figure out how to create a squashed format-patch based on another branch.Here is an updated version built on top of Michael Paquier's patch
posted here:/messages/by-id/X/0IChOPHd+aYC1w@paquier.xyz
and included as my first attachment. This will give Michael's patch
cfbot testing too since the second attachment calls many of the first
attachment's functions.
Now that Michael's hex encoding patch is committed, I am reposting my
key management patch without Michael's patch. It is improved since the
mid-December version:
* TAP tests for encrypt/decryption, wrapped key creation and decryption,
and KEK rotation
* built on top of new hex encoding functions in /common
* passes cfbot testing
* handles disabled OpenSSL library properly
* handles Windows builds properly
I also learned a lot about format-patch, cfbot testing, and TAP tests.
:-)
It still can't test everything, like prompting from /dev/tty. Also, if
we don't get data encryption into PG 14, we are going to need to hide
the user interface for some of this until it is useful. Prompting from
/dev/tty for the TLS private key passphrase already works and will be a
useful PG 14 feature, so that part of the API will be visible in PG 14.
I am planning to apply this next week.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
On Fri, Jan 15, 2021 at 3:49 PM Bruce Momjian <bruce@momjian.us> wrote:
I am planning to apply this next week.
I don't think that's appropriate. Several prominent community members
have told you that the patch, as committed the first time, needed a
lot more work. There hasn't been enough time between then and now for
you, or anyone, to do that amount of work. This patch needs detailed
and substantial review from senior community members, and multiple
rounds of feedback and improvement, before it should be considered for
commit.
I am not even sure there is a consensus on the design, without which
any commit is always premature.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Fri, Jan 15, 2021 at 04:23:22PM -0500, Robert Haas wrote:
On Fri, Jan 15, 2021 at 3:49 PM Bruce Momjian <bruce@momjian.us> wrote:
I am planning to apply this next week.
I don't think that's appropriate. Several prominent community members
have told you that the patch, as committed the first time, needed a
lot more work. There hasn't been enough time between then and now for
you, or anyone, to do that amount of work. This patch needs detailed
and substantial review from senior community members, and multiple
rounds of feedback and improvement, before it should be considered for
commit.I am not even sure there is a consensus on the design, without which
any commit is always premature.
If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Fri, Jan 15, 2021 at 4:47 PM Bruce Momjian <bruce@momjian.us> wrote:
If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.
That does not match my perception of the situation.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Fri, Jan 15, 2021 at 2:59 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Fri, Jan 15, 2021 at 4:47 PM Bruce Momjian <bruce@momjian.us> wrote:
If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.That does not match my perception of the situation.
Looking at the Commitfest there are three authors and no reviewers. Given
the previous incident at minimum each of the people in the Commitfest
should add their approval to commit this patch to this thread. And while
committers get some leeway, in this case having a non-author review and
sign-off on it being ready-to-commit seems like it should be required.
David J.
On Fri, Jan 15, 2021 at 04:59:17PM -0500, Robert Haas wrote:
On Fri, Jan 15, 2021 at 4:47 PM Bruce Momjian <bruce@momjian.us> wrote:
If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.That does not match my perception of the situation.
Well, that's not very specific, is it? You might be confusing the POC
data encryption patch that was posted in this thread with the key
management patch that I am working on.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hi,
On 2021-01-15 16:47:19 -0500, Bruce Momjian wrote:
On Fri, Jan 15, 2021 at 04:23:22PM -0500, Robert Haas wrote:
On Fri, Jan 15, 2021 at 3:49 PM Bruce Momjian <bruce@momjian.us> wrote:
I don't think that's appropriate. Several prominent community members
have told you that the patch, as committed the first time, needed a
lot more work. There hasn't been enough time between then and now for
you, or anyone, to do that amount of work. This patch needs detailed
and substantial review from senior community members, and multiple
rounds of feedback and improvement, before it should be considered for
commit.I am not even sure there is a consensus on the design, without which
any commit is always premature.If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.
I don't even know how anybody is supposed to realistically review the
design or the patch:
This thread started at
/messages/by-id/20210101045047.GB30966@momjian.us - there's no
reference to any discussion of the design at all and the supposed links
to code are dead.
The last version of the code that I see posted ([1]/messages/by-id/20210115204926.GD8740@momjian.us), has the useless
commit message of "key squash commit" - nothing else. There's no design
documentation included in the patch either, as far as I can tell.
Manually searching for the topic brings me to
/messages/by-id/20201202213814.GG20285@momjian.us
, a thread of 52 messages, which provides a bit more context, but
largely just references another thread and a wiki article. The link to
the other thread is into the middle of a 112 message thread.
The wiki page doesn't really describe a design either. It has a very
long todo, a bunch of implementation details, but no design.
Nor did 978f869b99 include much in the way of design description.
You cannot expect anybody to review a patch if developing some basic
understanding of the intended design requires reading hundreds of
messages in which the design evolved. And I don't think it's acceptable
to push it due to lack of further feedback, given this situation - the
lack of design description is a blocker in itself.
There's a few things that stand out on a very very brief scan:
- the patch badly needs to be split up into independently reviewable
pieces
- tests:
- wait, a .sh test script? No, we shouldn't add any more of those,
they're nightmare across platforms
- Do the tests actually do anything useful? It's not clear to me what
they are trying to achieve. En/Decrypting test vectors doesn't seem to
buy that much?
- the new pg_alterckey is completely untested
- the pg_upgrade paths is untested
- ..
- Without further comment BootStrapKmgr() does "copy cluster file
encryption keys from an old cluster?", but there's no explanation as
to why / when that's the case. Presumably pg_upgrade, but, uh, explain
that.
- pg_alterckey.c
- appears to create it's own cluster lock file, using its
own routine for doing so. How does that lock file interact with the
running server?
- retrieve_cluster_keys() is missing (void).
I think this is at the very least a month away from being committable,
even if the design were completely correct (which I do not know, see
above).
Greetings,
Andres Freund
On Fri, Jan 15, 2021 at 02:37:56PM -0800, Andres Freund wrote:
On 2021-01-15 16:47:19 -0500, Bruce Momjian wrote:
I am not even sure there is a consensus on the design, without which
any commit is always premature.If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.I don't even know how anybody is supposed to realistically review the
design or the patch:This thread started at
/messages/by-id/20210101045047.GB30966@momjian.us - there's no
reference to any discussion of the design at all and the supposed links
to code are dead.
You have to understand cryptography and Postgres internals to understand
the design, and I don't think it is realistic to explain that all to the
community. We did much of this in voice calls over months because it
was too much of a burden to explain all the cryptographic details so
everyone could follow along.
The last version of the code that I see posted ([1]), has the useless
commit message of "key squash commit" - nothing else. There's no design
documentation included in the patch either, as far as I can tell.Manually searching for the topic brings me to
/messages/by-id/20201202213814.GG20285@momjian.us
, a thread of 52 messages, which provides a bit more context, but
largely just references another thread and a wiki article. The link to
the other thread is into the middle of a 112 message thread.The wiki page doesn't really describe a design either. It has a very
long todo, a bunch of implementation details, but no design.
I am not sure what design document you are requesting. I thought the
TODO was that.
Nor did 978f869b99 include much in the way of design description.
You cannot expect anybody to review a patch if developing some basic
understanding of the intended design requires reading hundreds of
messages in which the design evolved. And I don't think it's acceptable
to push it due to lack of further feedback, given this situation - the
lack of design description is a blocker in itself.
OK, I will just move on to something else then. It is not worth the
feature to go into that kind of discussion again. I am willing to have
voice calls with individuals to explain the logic, but repeatedly
explaining it to the entire group I find unproductive. I don't think
another 400-email thread would help anyone.
There's a few things that stand out on a very very brief scan:
- the patch badly needs to be split up into independently reviewable
pieces
I can do that, but there are enough complaints above that I feel it
would not be worth it.
- tests:
- wait, a .sh test script? No, we shouldn't add any more of those,
they're nightmare across platforms
The script originatad from pg_upgrade. I don't know how to do things
like initdb and stuff another way, at least in our code.
- Do the tests actually do anything useful? It's not clear to me what
they are trying to achieve. En/Decrypting test vectors doesn't seem to
buy that much?
Uh, that's because the key manager doesn't do anything useful yet.
- the new pg_alterckey is completely untested
Wow, I was so excited I tested the data keys that I forgot to add the
pg_alterckey tests. My tests had that already. I have added it to the
attached patch.
- the pg_upgrade paths is untested
Uh, I was waiting until we were actually encrypting some data to test
that.
- ..
- Without further comment BootStrapKmgr() does "copy cluster file
encryption keys from an old cluster?", but there's no explanation as
to why / when that's the case. Presumably pg_upgrade, but, uh, explain
that.
Uh, the heap/index files are, in the future, encrypted with the keys of
the old cluster, so we just copy them to the new cluster and they keep
working. Potentially we could replace the WAL key at that point since
we don't move WAL from the old cluster to the new one, but we also need
a command-line tool to do that, so I figured I would just wait for that
to be done.
- pg_alterckey.c
- appears to create it's own cluster lock file, using its
own routine for doing so. How does that lock file interact with the
running server?
pg_alterckey runs fine while the old cluster is running, which is why I
used a new lock file. The keys are only read at db boot time.
- retrieve_cluster_keys() is missing (void).
Oops, fixed.
I think this is at the very least a month away from being committable,
even if the design were completely correct (which I do not know, see
above).
Those comments were very helpful, and I could certainly use more
feedback on the patch. Updated patch attached.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
key.diff.gzapplication/gzipDownload
��*`�key.diff��<k��F���W�����{��d������'>�o��r�����H��+� U�O�MI�M����-����zWuQo�t�����bz�y���/�p�M�a0 .G��r���p���
{�&��gl<g��3��MF���[@���-��~����|�����:�����^����y�c��xh2���x�l6~6���h6�]W��<(�������������=+~��b��t�����~���49����� M��f��������x������Wz�W�>O�|��Q�,O~����r��
�u�8*��5��Y,J���c�,�����YZ���\.��!,���A���
�EIT�~���7E�8�����<@ru^
9vv�e����eaI���6�r��6�w���\��p-�s��R�r(�4�6�@Z�g
A|x�����-G�9!4�s��
�/�a�{I�����t3ZL7����,�(3��`���pRC�%n��Es9 �jr���zn@mf!�����l0���
��D-w�d��+�l����@l���n�4����v9sR�p]P7_��+��M�o����
aB���u�">�K�M{�8��_�>�<�r�GW
*����g���(���RW��&��+�I���C,[��<�?�@��64�Y
�s����z�56�6?i��(
����G��X
"
��q�&��o��4`-�+�43n��N��YksU��p�pS.@�kI�C��&e��
5�e��m8I�/������:/A?���6S�L� ���k��E� �v�6Qm�4o���z5�Ng��������fts�B�?5<���8 V���CV8[��@t���b�s���Ic���G���]+B�&�d�
[
�� E�N��
�0`�qss
��`�ks
,�`���]������):V�����l0c��/�bR��$Xe[�W4���i����O �8@X/YS�%<��r
������m#J��B��C"cF��uNi������d>e��Z�7an����k5��ulS`26��K���
�ILxq�7P�`m�Z��
K^���q���$?:��a�o~�p����x�������2�����`o�l�7_����
�X�0X����=x������\`�`���g$4/�F�<�si} �Q���\��{c�@6>YG��
^Y\KD��pB���u 8�����p;$\L�y��L���=����.����.���
�*��A�k��m ��b��S����lx�c�
(o��#�����S�6b!����zvF�5����0o���;o�A:�?��dq9�}2
�� _,����G���{N����������x:[�0D������ c=�
S
>>���qdDT�XT����@�[
3/���w�����rj�yI�vUQ�,����p����L�
D�$����U�U�E��������Jl������K$�
��7���+�c�8�o^|��l5T��v�+1/�!�����]V��@��>�!
�_,4�4g��$�[�g�������zr��J��86���Ap�0��R��oO��=V��AI����B����Ry%��@�KV���|` q�p���e��5vZ�(�X������(��;)g����
%���Jx���&
x��`i�6(V"������
������Zv���H���%T�����)b���mPE�����
�N
\r��`3p!/����N�t�(��4�����(�$%��2�G8Z�����H2�������R=�J�F������;����Z���!���
na��\�{��i�2�N���$^��f�|'�
���[X����A��1/(+/_����^�m\
��^�j�i�����
�I��>1�\��{p�Qbp�� ���aP�h��
��y��
">� �l��lS`�AV
-��L��,n_���Pc� ��N+�
g���m��?_������>�c�H��~��
�P�Y��a-��q/!�`-\��$l D��?��Z��}��|��%�c�`}�4G��K�X�VE>�����j����TOPaWr�W�J����X9�WCu�r��P�k.w�V��)�n(��'(��
J
�4N����,��2�K�M6Zx��4Nrd�rib{-eh���,'=L?���Eo<9��B�+C��'�Uq���db�^�y9�V�q+
[
�}�}`������)yW��������� qU9��v��F<
x��x�Ik��C���(���%��2�J�`_��*������@
�k|��#=*�
����
�lm��"�.���ljW�$��_K�����*�~f�j��uy3�,�z�#C��gr�Zl�����0�$�*�;�D���[�g������'��� oZ�����XL�/R���F^�r
��:d�Z��%��{RN
�1�,9
-$~��Nb��N{��|���{��#^}��G��n�t��~��={<\Wq
��[(&�oD+��{�~x��k����=��G(^<������1|!�����@�e��#.4x�������2*c~�*�������{��Z
�m����-Yk�k_��!������
��������:��}��T��/
��7xv����BM��N�������}���1��<����%tZ9 �F;/���@�[j��,���������W���9"���PX +2
D�=B�3������(��
��
�RZ�)A
��E�3���rITF^
�*6
�X��m���a���v:�;E��U�[.�r���B`������</z]������[� ���M���w���R��T)61��k����U�'�G�.�3������RH���J���� i�B�c|��P�x��1i�6ua�j�4PVRb^��R.�����
,��*����^6wT�V�zj��*�-��V5wT��������@�\����~�x���dw���V��)�+1����z2t �;+T��F}i���B�#����9�*:S������DQT���bG�����u����4I�����|-t��(�]��(��w9�_�&T
�{�@����C�t��.{�
�z����d����g?���<���������/P]N�,`N���)��J�1I��S|��<r# �JQ����T 6
F��4�UG���
����+���4�Y��(VS���(
L�@��_y���
�� *��! �
(=N]�x��F��"�"
� �YiF�vb�� 0
�MN�A���^����T����7t_W�
}q<�V���
�,
�%�����io����~/T�SG���p��
�9Y���|F�����
�f]���k������[��_�����N�P�OnAF
�P��
n�:��^�k�k��#��6��mj�F��VW,\�*�����j7h���4
3v�e��}w�#��Ui��
�IJ�uJ�v%�O�A��������
J�|N�E,
�\-�8�d��.��G����Pg��������v��8�poIA�[C� �^�Z�iGL�h�zn��M��_9u���Zf�)�
��]Y����(�N�A�DA�B�/{����%�OQF�������R�,�-a���D��0fYrP;Q$��
m���Fw=������A`�5V3
T����^ J���d�3��M�,e#M{���o�J�������m*�
H+�)RQdH���Q ���
��l�P��8��� ;�%q_O%��J�E
��4QLS+
���A�(�������$�2��Q�jw=D*����
Q����L�"~�l��PhT]���v*)��#q+�m�A� �Y`
@�����HQ����Wb��
�4����y�
����S�[�\��^W`����&u��"i� ����(M ]Y�T�����&�@��B�%�Z$6i���#�����
�#
�r��5��>R�%=�k�
j \�C`C<��n��^��� "�EJA��%.�v��4i�wm�1��[��;������
�������-{U/ #��IN+X
�cU�
D���q����r^�����L�����B6^E�@��N=S�F��$0���qd�
��!����l���S=��
O��J�aM���xW[
wl���
YjYA�
��z�J���%����������F�p.�[��s^Vy"�Z*$��
����&�vT$��X��_���
2��^<n�Y��
[����*�k&���5h��D������B9H�:������6�i:X3�
e2T���c#M�h,���4�u���RT3n
��0�|�Q�>����v]� 9<�Z��"9�%qm7���J�����@?���<������
5!%9��<�4�V��
�
M2�
�,e��w�����l�ps���������O��2�m����A"��G��<�6Mf����'�'������n8v�&��F
�g��ro���
Nb������Ow�������GlGgZ�D���U����B����$G��P��,��.�J���
]#7*uM�%�@�8�Qa@��^��
�<p����4�t]��� ��
hOw����B��-��d�c��D4�A�'����-y`�� � ��yi�mk'D��3_�w^�g.Vny��Mv���5�m%�M�QJ�~���������!W��^S�
�
��P��l���9xY�q8����;� �){+
������y��z�
�f��8�.���2]b{��^
[���w��}���{���?^z��=�W��Y�Q���$�[���0��m
?G�
_�3��G�Gtu�p\x%#����
��@��.24���4�2t�K
W�p��p� y@5��`
�K�B��h2
M���F�t�!����-��[b+�^O�����4���%l��o.RptSi.���I^_k��=�����V�q�<B����.=��
f�C^O8����
n�
9=
�,�`������k'�I.���m���sW2�-$������r2�F8*����� U����
�`����������U~�6l����Z�����,d"?�(����I���?pS���b��ap1
F�����h� 0�:�� �q��
&�3'�D������~�|�>Bn�C�
�.N#������
�W�(n�|�
�����'r�������T
�O��D��<����7����`����������F�`l�!b����C�}�b��"z#l@Utj���3PmjJ��o�{����M��?���[�Pa��
S�G!7$t��1g��{s��`j�N:(4[$�[(QU����[]@4 ��[
�0�������o*�l�o���}�y�o��7���d�'n���{�mn�:��XgX�2�����M�P�,�q��+=-@���P��� ���]�������W�
�m�����
&3�#��dv1���`|(�i��p"�#�B.i���/P{M�g���o1@p��r��� �� �J����W/
�y�GW�@�
��
���~
�������/2��
��tN����X������%���4E{�#�s��g�?�����Pp��}N.f�}v��(�4�}X�����o��^
�|����=&��x�L��i���Y�5����/
�H����Z
�a�<�,����>�&�����M��C�����^�����w��.��x�9�� �/�8�/
pb�
i6o������� � ��:=LC�8�t`�9)�t��:�.�V5�C�c44�E�@�5������
�*���tEj�:�����r
���>��eM��t�L�'uq�V�eXh�=���� ���u,�`����/
�
�X
9q��%B�Q
�{��Sg
���rz���YC�B�����4<;?������"�����=l:�2����#���8�R���D�
7M�Bi�Y
�`� <�]C"p5^
��
�<"N�^�4���A��$��jat���s8�4uU="�����
{Ze!Uxa�I�4+�B��BuM
aZ/3X���5��&O�
�
@�`U�y���7�;�������x5$Z4eTr��^"������4N�6"&��6��OM�^ ��k'��p[In1iV��g�m�4�����R�,�����K����� x�P�����/�l�I�}�r���q�����@�k��gmp��,
�_F��������vP{B�R������?r����1-�G���{�j&"�����5 ���������(q`����}��z�H�������C�'<x�M��x�(o�������
Mdu
��'P���
�V,$��7���fH��Rx'�|�����ki.�j���6Ah�0��i��th�'=��-tR����$��l|���iC
G�5�~F�"�����Z���9����>�o�9D�jES`YO���]kG�XYE!��>�=j�U���;�^{6n�)-*Ln����n!I0�J������V��(3[�����,��N�6Tl�*������@�����Z���������5��us
����U�NZ�
&3���1�Qa�E���y3�
�61�s��;n�9k��!-T$j���������Z�et�xr7�w<Fz��Q��p��*�k�3r��u�n��[5�pJ�m:�Y�o��sE�1�oW9�l|�2����
�0(mrw�
w���uw�b�r�����+=�*z����
7���j�kN���\�vn�����!eu�����cUi��_�iz������g�y�����`O(�%���h/��c%�����ip.����c����{&�V��?��X8�1�N+o/��X��t�;�W�i-nw����/3[��&AQ���w#��,KZ,������0KX�
�.]z]������(�s
�J�����K��,�`�(���Kv �.���f��-|���e �����+g^����|@�a�Q��j���_��uZb�����G'3�^b�����%L���N��+�\�U��� ���K5����b<�L�c�
}T���k|�oS��W���
�}O��M-��?�R�0Y����^�7DcKQ����t�#���qDD���g��+��,��R����"<��'�"=�f���5�%
���[����%ULK��e�*�����M�
8�=1-�����;���)�S�y��q�VQ��i�xp���Fw\C�
�t}�
y=gH�
o��2� u�����{�]�$r�j���V�v���<��Z�?c�]��E"�Ep����F�W��V�Z������y>Vn�s
�����nk�������w�"�����'�r
;I�`{;s����(����������U:J1�Q���,G��#�(]x��d����G���A)��11���'�%nq��fy�O�0Z~�sb��#�
� ����Z������IK���0��=O���
�H`A�s���]�Ez�mZ&�����m��^�W�����d���-7SP�����kf�MX�I
�L�a�;��s��d����X����2[9���L�(�j��tN��Y��s��,����UQ�����Z�$�*�z�*���X�bm*�k����#���m�B:�Pr
<�L{X�yU��
�������G���Lie?u���i-�~��5M,��x��c��Ct���
�m���-��6�V��n��4i�3��d��\�L8�r�y��L����1Z
5DRs�_�\3my�dI�"#��4M�4ST���4v�
�'�f�'�f.�P�D��q�N���)A�M����._m��Y�n����f��v@���/cm��8����������������^%WKjbZ������e]I�iY�;m�R��(������A���������[����
l$,K������y�����}={<Z���XnVi���e��*
�_|��
��r�|[� ����]�s��Y
��Z�j���gu�Y���#���
{�`�:}����Uv���"
�d{@;w
?
�
��1�8��Eo���
����[LV����..�,��u9S�d�'�� ��kKG]TdV2y+���a���:� ��g(8���LAO��B��j��R]M����K B0�L�VS%�����K������+�+�\����moyX&Y�{e�
o��0���c�i��xs����'����l`���2=VYx��x��fsj|~��iKZ�[?>�V��{5a���K������vq%%�����n�9��]+�F�__�e7T��|j���!�����0[:�Z���N�G����[�% �2��l���E���i�H�4����\n3��/6�u���t ,����>Y;8<=�}�rD
�zk�@
��&K;�� ��|��
K���� 6Z ���r��
�^�3�.~�����<i���X���2�%�tT�v��S?��Ni�����>�������?�S
���
���
�2��>q�^����aO�
�}�S���>w����c�� ��'k��F�\�oZ��t�Q��oe�����ZK������y������
K�����;r@_}��������8���o�h����e�q���G'g���������������W������|�.]7wj}��u�r�PV!
E������!���=��������9��Kk�\������
R�����r���
O[|��|�}F�ad�3��Yy��x�����FY����-mu
���#]�n��v\��|.@�P��F��O~
��{�n�
�$)��TE+��Dy������c������^�Ol��|Q�>�p�j��:���K������\�E2��
)�.��wY�;�����Qx�Fk ���<���K �P�{����mfft}N�����Iz;��OM�"
������*��$;H{��v��V�����A��z�o���9�KZ�� �����HL�������MC�Z��A ���
4i�m���l�T]��]�LP��G�zFU57���=O>�^_��Y��\�r��MS�R�(joSk�F���������Y�>��A��������'�
�z�{�|�������jPa�z%���lf�k�
X�wO�'�����C���Eh�Du����f�
l����o������5����V�G�����b���u����Lw��-�
4w�~�����[�L��^���&�����J��j�R���r��W�_
���RO+0�����Su>��#L����o��`x�����7Bj+O>7E�\W��s#����*��Ju�$e��rj�2�aL��z�z���eE��DHr�T�����|][���tu�z�����u�����Wk�f���V�&����_����Ow_nZ��tDZ?9x����a?+�S���k�w�>zf
�h�����s�������P�'�.� \����6dZK��<|f5����\�����E03�Y
M�f�OW-
<�>'�~ "?%����E{���I/
1b�V{!q�/
�SKw��am���he�s� ��x� x����+�`m���e�s�7�Rq�P����� )l9����E,���e�V�7�z~�-m������
%g7��y�����qm�������)?�
�j��4��1�(,C'Pa�����u=�t|�������E�������
,��5�h�T%){���������!�[yz�B�-����� ��9�sI�$&�'t��wW��|t�n'�3�iI�'B"\0������C��b"`������������{d.N�����pbU����B�>A[�^u��{)�VV>onf��(xZ��4������lK���a�W��J3���J�/��k������1(�X�P�������|S�����/?�d��A����_���M����V6ci���
��O��k�Y�2���T����
\��pMO��P�r'�)v��|�����;��l����7\�A#|�s�s�s7;�� y���X2?���v��kD&|����LW��� �h�?�
���h����oN_�A�
>5�F�pv3�7zce9
�
4^�*a�Z:
�w7;�,Q^����zx���o��������#)!Jx`���oZ�v�?~q�{�����<���h�������,�t����\�E�
�
�|���2��k�
���J�{�
�i[�}�Z�Z�z������� H� ���w�p����O����~ ��P�
���^D��U�����S��T�
��;���s
v�o���F^��nR
�hY��vqI o}�?
�Y���*�C�I"f�fn�><;��`o�
�����E��8�GS���(M���%��O�?J���7�:�&�}~1��
>��������D�U~�
�rCt�Q{��� � E�^�,�E�_�������7��
�����d��'�7\��u)K��
���w����o������D�U9��v�����"��
��Dg������ )�����i!��hi��$�� ����7�f�N��b������ ��O>^����P�O`a���L�"���7��=W;�'��#�� WW-���\����
>��Dd��|z�x�������7|
����0�g��8���G�0%_h�=~�T��������yw�
���������zt��
�������
�<:���g��' �-����X�x
���l���� ��%����(�V����b]������%��qe�\5�c"��N�t6���51�T� h5t4�+*�
Y]O�7[��=�W��<Mz&��pH�Z�wW����|�{���O�d���0wz%0��O�������Uc��Z�b��C��_V~w��l=��J��|������3���������N� ��jf�z��zK�N�T4��=�~-��C)���t�f(���a���/@�����#}�
�]���U�[UOz���h��X���-I��:�d���2=� ���'O���[?�.4%�o����m��"D���_5��IK+BL�_��i��
���
;��&�����r,+oi������
}9���5���|7���5)oS���|a
�moT�<��6d�����W���
���?[[_=���xxb=6��)6E����|��^N�f��L�K��� *;4� $g
���^�Xj1���E�# ������c:^l�u>�VC
����b���������v������LH3��z���w��o���?��#k�z����z�����m}�����I~>f���i�y��z����<�3�f��������&����OE,�Ir���!r
��O����5
�q|r������y[���}��#��!�����*��
�|;��� �� |x���X�D?�����l��)E�N������Ooo�A(s!���,�����4 4��zp�
c��o����]��ix��������J
�`o%�V����O��x]sr����_���
_��2���`�J���x��J������r>��"�8q:\$�A�ls��>��
� b��8w����qu�C�)'y6���!�-����x��t9f ������}����w��.>�z,��n�� �����p���5��V���~��c?�����9����.�����
���������h�2��&t���
��G��ow�X�
���m9>8l7�����K*%�����;u����/�T��?��p��?�v��l�
���%X�iv�SU����W��V�~x1���9C2Y�X4�vX���b���������|�
?�����&�q��t�M2����[��%{��/�����^v��|P�>���FP�����d��Ssxt�I����G�������o�N{ �����(+�
��Z0R��%K�j������L�f���W�>\�z2����O��Fc�z/���Z��C,_
�~7�$����izw{�^�3"���|
�L���d4 W���2��G������V��J��N�h�h/�1�|l}��\�@U�gr��'Yd�4-�n����4��f��/���9�w�'��/vt�i��U�\r'�M�i5M�s�` F�\�|�������e*/P����vy����a���?WI
�u'5}�
�CHd�E�e[���DN\WE����G���ZA���������������P�_uIf�Teug)� �
��
�Q�
������o.���?��
dS9y�lHHW1�O�}�0��������:������b^_��V5=�/�[F[�*�D-T��h��3�,����?
�|l=6gUK�U��n?��XJef�H-o� ���
}����r��������d��1��/
k~mm�2�?n?n\\�M��8J��,����s�>������
y�����D.A�3�9h>\�I P?
����(-�}�S*(�eQ����|�X���#>D�X����y~\�����o�������y��5>�����)"`�6#�����\T�J�p�
���)XM���N�
������r�i,����p��w�L\�/�����'#�l=�#Z��IH}�
66�;Xf�L��������s
jLQ����f1I�v��n�K�R�a�o��L�F�r�e�B�8nK�M�e��
�U��0
Tmg�E9l��/��M��i���\��������u��]{�]������[a�'��__�5O}?���6F��%�'�M;�������/�OtV�������
��=
�%��q/���e�1�/��${H�+�L?�C
�2����������7&�Wr|����1�Y��� ��9����/����o�XO�;��!�W��2�K�e��O>�Noo���&<�e2J�KI
�e�`N�Jk��`2�)'�\��0mjO��s
/���a�v����F�~��V��;�S� I��|l}^�*y[x�NFa��aY��C:���0�%
�I8z�M����_�N���s��;�����?�"�II�����p)��'�o���&ywi����-�p@e�KM�����f���&�
��YE>�\�
������5f=��y��M
+�Y�TE�c����%��_���(�%��::�� �q�N����f��<D�2��s1�| �}�C�� 9��7Z���/�B� +/|�eDy���<�4������G{#e���S��F/�[c�n�
���j]����x�KZ���������CH%�A ����������N]S77,�����������:x!Ht$���
-^y9=_�l6C�E�������S�
Z�[�
���\
/_�
�Z�L_[���8��5mm���
��� r �����:���?�e$6���5e����'��;}�i�^��g������
���P�r���������P���Se
���$����M��yE�n����k}�z?��c����{c&Zju �����1���N�$�C�jq���_�[��]���{#���f�b��n����QrC�#�'�A��^[���j��a{Z��y[�L�G����;���u
��Jw����5`Y�%h�-���[W�l��J��v
��P��-H�m�><&Q���)6���{R6�[��
�4����j~$�@GB��
�y}-��
���q�]Ad
���C=��>k�R���v����t����7������B� ��?��t�TM<��8����/���f��G�5�����w���$*��i1'��!���a�]M��X�Za��� [�c=�q�
l���{����
�������u�w���
����pG����~��M��h�&��7\������Q.��w�������k���������;���<�h�8)��Q����1P��bR����/�����wT�YiiH���
`E\.�W����/_��+���m�������L��e��������_������^B
+-��3
���;T�6���� �YC(��
�'V��z�����U��I�H�<k�c��E
��
�\����
��3���&����fM ��5��|�� ���-F�b�y[9����T�����'<����c�Mi����z��zkw�(�b����@�Md1�q�M7;n�����q
��5�7��ZM��G_��l���h����g"��>���#�C��[������05gB��gk������&v�vy�f�a��s�U��V�f4��[,�+�'�oG����|
0�O�F
�-��i� <���U��?�
P�z�i`y�p���1�\�.��N��X������D�*]���������
��w
��7r�l��������6}�6
�1��'�o3J��5�\���|�����+
J)�ZMy��%�*;�bl`����d�[�� v���+Q
+dt�n[u��{6�SU�"3��9��q���E���wm���-�g�)������
�KG�<8�v����������}
A��z���5
�c�;�$��[7
�I��_[�_mC9au��&d������
C�&�}{��.�eK��7��e
U'������X�^���yK�����F�m�>d����s�o��+c��~a�^
�������'��S�N2-�HD��I�3���i��X!�=Y�`��U�"�{'��mV����3�[���5sm���
f��3�Bwu!�?�IB����:��~kY��":�@X8}
������}n��`��;=��D�h�Oo+��T��Z������zV�?�>��
b��Z�w�����z����oI��HS��`,g��yi�pnaW�iY%�7�h�����[��J��/�����)�Z�_lOo�]�!��lO����m�i�J� �:_��Z��yo2:>x�z�0����MZ0���k�j�����[�U�q���dX��]m
)m�<���^]5>�0o����2��� �oSd9�����s ^U�����:������
�=�H��HD����l�~PZ���iC���*��,���xg6 �xg���-���y�N�
3���{ S�[��a�y�^]\�U��������W
��3C�r
f0��/�<�4��/�/q�n��.
ZL�0C�
��Ccn��;��l����b4����T��
����%��������-��-r�"%��W�*^��Fk}w��}3�N�q���N�I����V���/*g������Y}���H��A�����C�6!�5r}3��V�����j[
�
�v}
Y�5�T8�R8l(l� ��ey;�o���OW����7� �h���i]���������9O�9�,$���~��z��� a���U���F�A-����D�1q�ng8�����1�����pe��
�|�{o��Z;�g���cUxQ��������'C�%�6E��b��������`V�g�/- �"�}9
�u�l�����6m�����&�S���\��4_Y��&Ms�M��Y[s�W7��[��b��mK�iD~�q5��k�+�A�D}��!�=���RKN.
��7�
��FG^O��k�����{��7%��X��Y����_���c\���������s?��
���t�3�E���k�F'��;��� �N�w������^����/wO�����/H�O����A��s����6����#=�5��.���=8��x6���G��
��7�K)�� ���O��'QD�_��C�;u��b\P�d��� Z�tzw�*��ts����o
�m��R���?<:=�����[c=�eY����UP9����o�{������wW9�^+|]z��c����K��=�����������;
}���F�x_����h�I��^����f^�I�lZ��'����P������2���_ph�|$��!���c�L��~j�����M]���8
���0����C?��$c�p��{�����4Dt���:��P�����U��h���1���7��N9���k���7|�;@R�����$
�FK���{vWV�}�_��S���U9�?�}V��L�iUu~�zc���U��_���1�~Y�:)U����<��%�?��m�!f���vs�b����>���
��u����������_���45*�
��v�"����f�e7��7�����E��j03�
��5$��n����
�����n}c�
b��)���v�����T�t{��3��VZ��nm���Yo��u����$/�R���l�hm���i���;:<��;���������K��
}Rj������G1M3��Z���-�)�Z$
�������������O��V��>^u�q��7<����3}3yk�:XK���-�����3������7[��_���n����qxe� e�ERC{�~�r}x�o7AGUg�cl��g�+���������
&
H�p/p7��6��� �tS������H�!a���|�xew�v~:0��VY������n-3���d���o��(�1cz�3&�H����] &�o,:�t��\��}��L�
�����scQgj��TItX��:P�&O���&����Yl��
� I���0!�����:|����uF+�vuO�:�/W^0��g&�,y�,o����Y�/� �V��c��\��tZe�[\a��W�gz�*��m��R���rA
���f���U�y� b�<�
j6�Q:� �s<Y���c3o����u7��6���������?9��
-{o }?�Vq�W����V7�H���N#����Z����s
!�#��%�j!��`f~sG����p� ,�
w��|y���
m����#s2�k�.��I�3��-������5h-�R���ED���jT(7R�W6������<��#��h���}% ��^�O�]�P�����~��P�l'�'c2�A��������.8����Q5C�e�T���mX��b�����,I�yd''W����n�����v���v����~�W�7j�~�.�w��i����5��������?�B[
�0�(��8��q\��=��d
�_�%�I��~�);m������Uy1�o�E��e�*u
�6Xo�1
����r��V�6<in��,���y�S������7;����sq�sut|�s�s�3=���n^C�� �dx�^�7
�j�E�����t�m�6�.E������P[R��H����������m����V�L'�����G���M�5�T=>:={�K/e�nv������
�
�Q@��t��%_�8�u|~�.��j�U��^��}�M������B��x�X���B+��.3E��$�P�i�Gg:&�M�r
���3�����N;�>��wYei-����2w�$O������7+��^*;+������yl�t����`�$�R�$�������
�;u/�|z_Q��I iHO���;e�CT�*)�b�r�
n��~��FB#���G��L����!���
@
l�
�>��'��#��:��������T�ViE
���cS�a�B��;a�
��
�RF������������c�]�@Mq#���=z���
���8���:;�J�?~qz::������{�6}7� Zu@����Q���
�2�2�D�� ���.@�����E.h�0|
���4��~�\������:5��d����?�z���u�h�K���]���'��5�39����JL
��B�2�~��)uk���(h�b$ o�k����F�V��
����b���|�+��vc���l���d������F_��}��k���{����{s��k���YBa$$&[�f�${D^�����KW���D������'�C=�x��E�6���_o����K+U$���-����N}
��r��S88���8x�����I�f����O���_����&�U������\c�b_X7D
�M
f�O$���<�`�������[9D��~��:����w��N���t|�<7�!&�0������c�l��f\�y�v�no��E~8���.z�
�V�$�g\5K4,���a�,��K�@�����n�Lu���W �>������� ��:�>����7 i���s�����.�3�����r���0���h���{�W
�Z/�`�2_��
c��}q'm/�{��d� ?�v���=�K��&���&!��"���&�����B#�1�������T��r����3Y�`6��F
��%� @����^���Y������/�����R*%���.�N�nr5�B; ���%��}\U\�<{Sw��Oo.�59���,����j#>����2H�#
T�����u*�MrI������#E�1T��4V�N�WL�����"�����o-�
V�h��*��77�C]���Ve��!89��T�~�&u
u}[���q��D��I���V�����Kc��e]�6)X������ �������m�Q�T�C`zi��
����af%��%"2!����T�^������b4mU�\RZV�T�r����A������i ���������!A�;��L��VO-���j�����D9�THOG{G/_���
���`��Cg������{�]F'��%
�����eF�����_ �z6�������{����Dvk���a��=
tl�ab��r�����66��dV��L����@���[��+Rk����yV�Kk*�P���5�m
3�������Um��b3��������H�T�4��j�a�&9X���ZD�\o�LB=7���������::�}u�r���|����9f���.V+| ������;{��n�o�
�u��!*0���Bew\[ �bx�6����Ha��fYN_c-6������<:�?i�������bE��D�T�We���"Ad����w7�*@�\#a�'
�����%
����
QR��B� b %�z��_�>�l�
��}�=�Y7��
��9��=��(b��O���rWW�����6T
�1o�=<�m|y�������w_��
��)!8��5��S}u%��U'�CJ4��M\F0�
@������E2�e���I��i
����������q����Z�9<��
������FU!{����
I�>�S�vIHz����h��Bg��WV�������)>��4
��6����a�:~d���]_��@�+�w�D���k�^�+o�)?��S#���6Z h�F
q���t�~��~�H��Z�|d�W�
� w����m�����C"$=V���x���}����y�Q���w<���^���Wa��YsK\��w���r�O[3�nZk���7�[�n� �e����3
�K��j�ZY�Y� �F�����<`t&�Tq:����U�=�D[��O�2������GG/�wR�cf�%�H�����U-|��<�/?O�WZ���6���DT���
��R��u�3��xZ��m
����V�fJ&����P�rh�ZGk�
Y������1�j��F�3,
xNEI��I�1����7��&7�#9����'oZr�Y:���������������j�RO���b���0*�?.�)���2����8��4������s�0%�Z`
���"c�
M�$H����
����A�5<����@ j���.hq�h��V��|�<��r�8���b�����>6��e�j��<��j�����2
_=y�����g3 U
6(��*�����b?��"t�bj�������o�a����������Y'�������si ��:}�����S����]=]~d����
�x~J�afk�N�sY���>�8���@6~\0�T�O�f�1���t?'���I��~�/_��*����;�kC�m��c ZG�������R�����$M��u�}�oF��0���4G��&��e�f�K��H���~M
���kAwBPOGS�{*Hs^�-l���I��T�5��~
87z�W��s"
�!��l�j�m
\��k�,f�@_5S��z��H�CmIo���vm����Nd���fz�aP1�X��V�Y������xb��H���"7��nuU��.\R_T����r�W�%�e% y
g���A���nF����`��-�|�@��W��/_u:���Dl/�k��W��nC��uV~��%`jU�YVq�[��,�����o�K_��3�a�JWx�i��ZLG�t���X��r���U��*>�g������Z_T?��V;���]d���H�����V��������Z��,���,v����VW<��V+���Q�$��g��e������������|��s�8!�$��@l�����f�V���J��vrS��9��e�
��M��N������Q�=C��c��7�3�k��t���
4�^��?�&X���U� ��e��g���'��\�j���
�V7�jN�>����xU���2�����m$ 9,q,�(�+�����K]�Mj�N�M3d�D�Nu
�mYG���v��fK� ����I� ;�t]niS�����zg�j*�a�Py��RW�4�l���R�w�
��r���V�_h�
,~��������� ���:�~j����&�o��W���?���A��=�e�}8�����w����G�����9��s�?�[k��������+{����G?�v ���
^������S���6x�]g��+��4L���d
5(������/y�+���
o��!��{��KC c�scw���g�����$�~n7p&����v�y�)�v,|�����<�
c�lV>7IzLT�XVT��\Sk�z�-�����j
���6�����l�i����q7� �~*[��g{f���a���=�����X�*N^s*�|zw�n$~@�:7����g�k�����v�,G�����puKK�g{_�Xn��g\�
�8^�tW�����s9S���VZ^�Y��
/\���6eUL�i�O+5�g��S��y�����
� G��w�/���N�[�*ee��7�[
�:bx�b`��9����������Ii�i�a�R|��T�i��|`� �^R�jGy�^aX���j�|3�(��v���g{G�^�
>')m�KJ�$}J�&������q�-��\�E47���Kn]@�sI��N
�������@�"[Z�>{������^c)���+��@h����&�d���
e��fAB�c]mjF�- �?�`����I'l��Ln�
uh�k��Pu�d��*!l*K�k����5'3��`
F��pS�f����s��9������g�-����d�� xci(�D~����8����?��6�~����3�}�
QI��
Z��tL���97��B�q�?��K_��R�{c��c2�spC>����|7u������A�����z���lrm��@L�����P����7Y��k2��BMD��
��^yn�����+��7}�������'-�i��Z
Y�mmUJF���[�J�����w�������Of��'���U��t������r��U�Nw�^Q��fS/�)obU�R���!��[U�D�,8�zj]S�u���n�X��J*��:�����[-u���>�z����
,Q�uv����&.h���'�����VY���Y����mY�
�P�hZ_��SZ_�_2�:��u�&KMZv�au" ��,I����w�sUC%1
H'�bTU��B[
������
�,��q��[���{�&����X���s��#s.=�/
��
����=���%��-m|�����y�k���������j��w���f��������m]��mF_���D���
�m�`T�9���������:�����w�w�~�su8==�y����;x/^Z����i$���8�{
�W��f�:���
��^�~���u���`-
w�c���(��U�l�q�+3���'��������������1�m���������K�{Z��<B����.����z����W�9�vcx���1f�R������^���n�b1�V�L9����!l WcW
n������\;hY����O8�9-�Yqf{�J{�`Z��k�9���u+^���*�
L�~K��'�b�������7J��8��_;n�
8��kw� n�Y W�Y��<�Z����^�m�A���:�B��I��,x���`���q�1��(���
n����[11m~����'������]����Y���.�p/{���TCQ]����D�-��D��[i�6 e�������zo������h{���q
m��s��,uw:\e��*s���e5�DX'kNM�F�o
�5��y�����W����w��e���/��t�|~��OiJK���uK��@D�����M��a���M��N�TU�8�e�?\����
���WRfc��������x�%I���8LU6���yi����9M
�k����
`�X��r�|�G�/�cx����]�>V���
��i���`��������6t�
�^�v�.��~"������mx�����c�6V>Y������L(���C�����x���}�������C��s��)+�{{��f����/p�'�_���y�[��h�{���K|�5�>��|�����<����,�����X"����l����������W���r��'k��36��d
�*+���q�A
{G��4�
Cn���f�n.������_��[�m��M��f���2Kn.�)���k��]��t69���W-���4����xy.�{R�E��y�� ��Z��G���v-
�o�V�m�3�om�������7�� �Z��TO���
O��������4
3�x:f��N5��]��2C��
M�n['��f�����!W$
������<���W#��[��nW�y
�u��tO?f
O��[_�o7��M1�V�+�����
��������� ����5�m�&n�,�r\U���t�t�����K[��7���~�p[D�\3�n��s�Z�qAYq���5I
�m�
gF��
G�71�s�7+�������o��� �~��i=�eN������'��?���:9b��s���[zH�2���G�������}��������U ~c� X������za���Q����������[�h={?�������1��
�Mi���x4]���K)v�zoo��B�����4�Jmu������l��?�5�>��M�G�T"��w����;��^��zq�����c
j����r��A��>���uSQ��9/Z�����im�g?�9����4�!Y�sn3��f^� ����������0��?mJ�����(�O.�M���H����i]����J7�>s9�n��Tg�L=��� ��j�M/���2"��GQ\KO������ie;�-s��7
�R����T�H����I��?��y5��zxtDG\��E�.d���6����:m� z�%�����C2m�(�L������-�h��x�:����`g�������i���3
/��������6?'�g8�b���H?l=���s.�������;
�<$v`c������vb:}/\����'x��|p}�~�n��4>����(7�l�,��T��lw�V�A�
nC$`��+]��0D�{����[���D���������w���}�?���
��������7�j��L��{ ����^��_��
w~����(��[��k;�
��3�����l|������o��g}���n,3K�=K}(>���E�s����D��cYD�'�0�3\��`V��v:�\U���T!}~�j��p�c���E3�!
U���bl��H�
�i�/J�����Z_�����4�������j���5������e�n���y`�q�����>,g�]k���j+2h��j���7��n�<�:�����7'=�� ����� �k�~�N��\�]9��}_��f�!����`��8Gc����?���H��S�
cA�_�����[;��:�WS�M��X�+6q�u��a-��������+W�@4����b
������Y:�B-x�a}�=_u��3_u��U�a�s�Q[�,�vO�'�X�O�=���� ������5���
�O:\��z��9$���2j]u^'8��v����F���T�i��]]���7L�� ���Ge�
x�`�K�#*�|���Xk���{Y���+y$gQ��
��
#��[����5�UnZj�|{�2��"&��H���;���;W��t���jo��'L�j����W�QqG�J'�}�9AQ���TE%d��t��-�E�5���u���@-�~u9n�F���z�k+�Y�tQ����������a�@gW�z�K���U.�������c-+@
pY} ���O;Y=�t�'�
���cT ,
ct|��;Nmb��?
�������)U6�z������e���Tf�z����q���:�ck*�d�Lh���.�j��444�I��v���w���f�5
w
�G��zC+-^����G�N�=���j��_? ��2����MJf�V�� ]�%��!k��f���L������ �1e���0u���j��
T�ss.�����P��Z������c<�����k�(lVo����Z��2�h���@(<��������T�&�O�j������k�������Ea��j�\}�^�p�-���T+W�m�o~�o�}��W}t::8����/����<
6���<�e>�����
����~
�}�2��8��&�u�2-T=4��|"-��U��hz�������dV4B��G�/����>,���Z�������v�1�WKeY�aa��z�fg���p���j>��v7D�
-��&�t�S�;�}6��C�x�v&z���*������j3x-���K�m>���l�_[��3P`�b��������*������_���@�W�LL'���).��BW�������4S���DW���LY������V�-ovP
I���f�w�1��������-#Xt�3����� �����������
��G�i���t�G,��B�Ja��[f�����{\G����
w�6��ns����|���6�&��c��7����`�B)�����
���\
���������.�?������0C���D�*@*Lq��R���Dz�*gR_RQ�Q�,f�����:����^w��N����Q(�5��s��Q��JP!��;�N�z� �Fh��%�M�D�&���"p>~�)L.��,��M��D��^13�
Q�� |����u�-�����-t��a��`cwfu@����$
�b������r���L�n,j��|�����PFwb�
?������O�����d<��E%|�i�Y�)�8��4�� >�Q�����������U�x����@����
|#��| ���l}H`h�mKf| �1��+�Oww����z�a����M�^ %5ths�����#��-��sA��
pL ��~q��"�y�������QN}
���m��
'J����IL�_p�/�*��^0�gd�W�g/:q�:���6��*6�k
����9�
��G<[�S_.pO��!�x3����{:n�UL���V/x�$AB�\O���P4�P'kY�z� C�������
�:�����e ��}���C8p��]�����m�Q�������5��Z�����O�~]�/��JC���,����n�]�`;��IF����Y{
�����95/�� ���.�O�#Lg��2v"q��$�m<
���� ��/^������ ���e��
O�e\���������U]��2[in��c�Q���|����y���t��\}��}��� Dj��]���������9���������zSY<��n.o�[�A ��\5�������gM� V�obJ��f
�i0PX��4��d `I��T�^(w���5n ����"4����-��76����}�-�c����f]
��&�?j �j�n�}][�
�'��%��{�bg {�����[Q�{s� H�|�
z��2��u>1���h�o�����+l@�����Y����J�O�5��*
�v���&=�-[�
m����V-�himG*h��6~�?�~�����F��� ����tD
��r�����s
�����)���4�a�H���*feS��������n�B�U<�=
�G�
��/�zx�l����K��e�
VB����]
E��
D�o`4�5
������u���e#�*m
�G�Z�������YJ=��{��7�>�:��bN$��i���iaab�T+\��0��!Z��1Bb,E�?�v���]������*���fK�]�!�h'P� ^���[��Z
�w�75NX�;H.K������j]���B��xZ�C>��^�
����}L����z��DR������s"d�.,;�
�\��U
�M���PWP2��M���-�z��B4�\}����T�?�X��M��s��&�A�WV$�Pp(&fU*\1'�E�
��D�9���F������������5�����&]��}u^������&�2��
�~O I�DD�
�^��
(�-8�6��
��z���=���;8�$��:�����a&s��~}��������A'����#3�!kw�3�B}m8������}�P��?1K���5����|�7�B\%��~�����Ei��j��8�����",�.��8�����f���`��L5����i�i4�:��������U��Tu���(�?����l}Q�4@\�
���0�
�o���5m}Q�hz�������|�
��;h��Ee�|nT���9lz�?��3��.��[l]g����]9�V��Ivo;�\�������N���z�M��'����y�~�
�7O��X�1����C��$���f
��d��t�N��*y �S 6)�^M�y�AO�������K4p��������{�_)����>���/5
!���:�V(�q]��������9��
&^����R�E�z�����D5��fu����]�$fb5����Y}��WVZQV������f8q��e��w���iix�$���=�}���"�|*��O������ \��;=x!�5�j���.Q"����
v�?�E�W�j�C�Ln('���f����&��
}����Sk�%���*i������/�_���^����
~
��z
��V���g
S�6�
��
m�����������P���#������&\�w�T��,�"��:j���b�Z��
�|�?�/0`�:�Y�Xt\�:�.tm�r�P�Q�:����$���_W4�� V�p�S�Li�g8C_�=�2��U����������D����Q�,��L!q�t��!;��*����6�{]=�So*�����=r�� �
Yrf-bZ����.�+���K�k�
�JNi}njAv��1X�d����]�)s��u�9-vj.n$���5�^E�^MCR���@�i���%�� ��[y�O�V��� ��a��]+4�J��rrSY��P�X[y����1�Z�iU+0��G������f�,�Q���f����
�����������Zw��4��<e�in�����{�gQ
8�]u�q�����
�t?tuQ�GVS�IG�>�6�U/�rj]�3�fr���.
�z���UyV����@e��@e��@�;�����.U_�=Kvyo|�����@*�u5���N;������\NL���\)q��Q��[7�=�D;j \�s�Z+����
(����3C��o
EGI
)����}�u�<,���
a����r��%z�e�f�>K��~�g��\�
V~V� }�{p�k����5@
�'�����o{���+N�����W�����R]������������L����������F��K]s�|�e����zN��kJ��&��qF��z=��9���#�LG,}w�R�V�Q��hKLq@��E��6���p�lv������\
�p�S��5Bi�������.�����+ ~��w`a�_-3�(t������7��d�|O�n.�C,�}
x��:��}]��V�T�65�f����!��]a�%
F��C���WE�q)5�]�M3&1
��b���*���r�:��) ���r���"�����)�=3���UJ���*D�ybj�S��e���o��5�d�i��OO�1|:�tj5-��=�7
2���tKc�R��E8a�7e���{,�
��� v��\�3���&�jX��
�,��[�^#%Me2�x���
�j����o�x���G -�4 �d�u�����`�����N^��b�u=����z�H�����L��5Ny��$�H�����T�Tt����)
<��������|b"6N���H�R9b7���
�����������vA�
���b]��W�����o���J�{G�N���6�c�o O%�L8���V�s��F.=�K*~&$x����}��na
b2qk1S0���
N��Q�4�0��\�at8�B�1gV��k���z[��������.��^�����,��y�H�����
A�}�x�X��E��)
��>��A�����z!���
�;[�&��b�,e�e
G��������.�
�����uK�~��tot�2������i�����g�Z���.a�L���v�4���1M��g�<�i]���4��e��)��Ds�VY��XCb��~����0&�����^[����������'��
SG>C���w�8z:���S�{{��Zu����5�e�8��~��|4u�gT����)�3�1��4\��
U ��O������*� l
��
�� �.������!&
���3XX���n{�l L������'��(k�y�e��������-.)z[_�On������Q�1�{��Mt=(�K,�2M���^)%r$���j���w��������d�z�xgz�s��z��w���� '�Q,�^Y�m����.���O7t}'��W�!����q�Zo�F����_'����n����yO��vw�~{���������k��
LA��M/�?�-h��[ZlEZ������L�
"��kK�3��Um�u�����c�G$�1��1&~+M��D���IVIe)]k����Iz��Ct�f�tC��uo�{]
��/g��U5�;�������y��hR��oQI��"�bg���ez=K
�o
��g~���i��^8�G03������]�un�
�c�a=�Ns5*�
�o���r���rF~"�K>�����v��^�X�
[���
o:�Qj�����r���
����X�Y�����4����T�����.���o.��K8�ok�N_���|G���Ih8�y|m���7������m��Z���R75xI�s��*���
^4;����x��6~Uk7N������4�����}�h����=��
n�ua�7�va�5��*����I�U�>����V���W�T���
��sO��5^�PO�`�N�Ksn|���$RY��&�����=7�Af�M�Ms��f<h�~1���������4m`����2����g}c�]���F��oM�],�9%u"}�G
[����i�xpUN��
M�7
�����:"�N��.���>�\e�d�����{�f�r����7�on��T��{<}�m�9���
oh
����BO�\1�bd��K���HB78g����W���������b���H���z�
���]�h��u�^��?��������z;�c�2�;^���_�Y�
:�����_o��z��,����o�n����>o��o��G��)@����������N��
i��h������=��'�V�O����F��(no`�jZ>0�
95 nt1�nRV[^���K�\�J)`���x�oo��)d���`��
�>;�=<�j�D�����G��;���PS�E���,��g��f� �=�{����"=��w7U���T*��]����N�J��N�
�{���:
5�>ML��!������ju��
�"������Yk]���^��W�><�zibu&7�����
�iU�o��N���C��Y�/�O�1n��^pD����G�I��U�w�v��.� ���������:���E,fI��a)�o��M���/�0T�Q^���
����_�J���&
_�c�l:�����-dQ�����=v�kn�KN�!��?�Q�F=��%�������w�����v�=��p��1�\8�E���+������D�$�h<���R��*���V�M��h�e�/��?��������_�x��
=� �~����
VV��wf������n���_���R��~3��u����!��71����<r��Y,U _���u���h]7V/}e���U�
�L��1��5!/�����G^�f��uz3���sf���W��
[g�������������7Mvs�'�����lT�;7jx��m
������kcQ\f�����]�������V���U�
=F��f�z�z����x]�rM�$fK^k21
�F~Z�X�W�z B 7�D�B�h���p4� s���tee�U�0��N��7���G�F�"�c����b.{�Jy�k�#[�d����c��?m��i����� J6/)}��h�����v�B�������|rA�1�dg��V��%��m�%�Y��=�bp������N�{����������+�[fmf]�c����y�-|Nu�
g��bI��fg��nL�
*���� R���
��� ���r��e��,�"�j����Y�q9�x��y��1����N
3�*a[���+9q��Ww��1H�1�����[�~��4�
����[���B?4�����E,�,�@r��N�����M:�:5�U]��~4
V��9�~N�5�#�Xp����������3{��O�b)��MA������
j��y����Wc}5�M��Y�nu�z5����r,����!�&[���S��� H�+����M|�����v{�~�H�
H
�9�����$If��*?��.����(-�7��1��"�{�58bipf]!��������������
r�z��}p���}u�r�uGW�\����:|D`��}�^���2�����������}���W��/Xf5=WO�p����mu���}��
��������<�<�Sv��]dQx�
�{)�
e.
�Wxpu������i��K��E�#�\�W_^ W1 j�E?�����9���OT��'��X��7��gu[�������G����L��*���%/���/�0��H��
L������uud���p�<���v����� �$vAE��|'��r'������#��������E�0~�@'�Hu,�5���tVY\��:����*v
�zA3�\�n59v� ��
�����w���lF3FM�
�@� ���z��
s���q�4���,���( 3�����M�#��>���PW
1�i��u1�����
d��in�^O��qs[��a�C(
O�w8��wWw�����h� C�Q������D�X���=��-�fw��%�6�T�����G$�g�� ��eV&�<��B��}�_^O5�1JI0g�z`2��Z�5��4CQ��7�����;�a�e����$i5����T�__����&PL�/�NLa�����&o��r����g�|`i���22��
������Sn��pn�H���IO�h���M���
�
+
�9O�W�V��N��n����v���[^P�{��Q�
��
�a��L�g8{l�������#��$�L�_�������"�����i�w����G�w���i���61���C�u��I|�q��zkm]T��[���X�`������k��O��L�wc|����y���������A�fs���n^������gg�����������Z��X5�Jr�{��&�
b����g�*K���>~q��|d�������V�*�������Y�M
�&<!�OF�F���#��g�w���f�a��;�f�
}Z�#Oen��i��mG���Q���wsp����@�oh�����u
�����CH� ���'�������^��������6������w��D�[�g��;��e��|��Gt�!K���d
AW���>Y��)��j:�X�|' ���7���Lus�y2��,�����bD[��#K���
z�����O�7������&��P��#j�B�j�Z�CMW��v�����S
H���������#s��M,����GB_����S��� G��e�BJ*ib�(��I�B^��n�[yw%���P{��o$�m-_� F�M��e��b���s����\S�^0���������W{�[g&4�2���O��S�:9:<�?|�Fm��S�9����m����V��c7�I��Nqf���pv5�LO�G����6+nJT�|
����i���Z����X�5����xL������l_F:N���T�����
�Q��\����L�l��[~�j�[�����s5��48v��U�Wom��3
M����e\����w��
�E��|rw�T^�� 3�e�=�/�z�b����}9~�6�{�L;��g�L��e����Z������?{�(��d�tB���I2|oJXy?B��/�� ����Y!���������a��^�g{]wt���F�#���>KGBI?���0-V�cF7������NO_\�N�%���E�cm�w�z�W�����[[�g�@�JK��K��6�F��U
��N&��My�*����s:��������vY���e�x�����^� -��KE�����g\���}@g�������IQ�+
�u�� {���� �k aUl|L��$�R2����:��w���e�>��v=�c��<������#0���8��y5��=_Y����o~���
W�������I|��;���q�T$���b�O�8����\���2n�xS��G��%S��U�0-x��-o}���3���Q������O[�|�:���;�S��
#�r�����C�5�
��}o�i��^���>��?mm��Y]�Z�������mY��'�������zW��}g�N�����������_�� ���aD
^X�b�����c�a3�����o+2:�W���
�eNz>�"WC�f���t�B_jj�����;�;�5ej�{��q�*y�i�j�!
�yK{��������
(�h4Wq���l#�-�����i�U�c�����t����������r����!����TD������[����������4�����+1���.9����m�E�v|g&���z
T��:�|y��pC��
�bu����
5�����9
��Y���!�JB��7��wNF
��
/�Z�J4�M��^z�a���R33Ph)�F
B�����[���V�
j��
�V��!U�b<H l��� ��gqR�V�9���E�n(k�1��uz��K��*�IGA���
����m��Q�S0�iM�5���������������[i���L�h��V1�3��
����{0
���#��~�^h�=�e���t5��F�z��i�#�V7��3;�om11N�n�
kO��u!�BT��!�L����%�g�����&Y]�J7����M���
�_J�������2Z��-��a���9���9�����F{�z������c
_j-#�j�orn
�(!���ac�u��
���b���M�L������=�e�����}���>�"����q����Qu��k.y/ ������+�I���?V&� �������ss-�
P��.)����G-���
I7s�W�����P����)�Ni�Ln�43�lK��ka��x
d�&��4��M�
5���<@(��d��Y�����o ;��Y����f%��`\�sez���[%��lR�SY�^���{i.���1�`]r%����6�������
W���J/+����$�|Yx�(��$&]z���HI�Fm��LfX#|�I.#3����������v
������"_��}�>Gh�u��9�����g�Y8���U;������ ~d����c�g�@������a��
OY�r�C<���qa>z�<���$2���"���&��0Y.�T�;�
���
7�����i��DG��M2Ea��J[�y�1��b���,����N�� ��[��c��\��I��z��-q���ns�p�m����t��\g�
����I���L}��'�{�� �o�������������}wa��ew����q�t����+'pW����M�,�t���/���1 �l�6��J���v���}��{]�}We� X����pe�PV�W%��"m�dO%�Ro���u[�
�s�,�����0K&�dO�t��T���5"��+edW]JX&:C����x��z��?������~$ny
s�'��$e��7�
��ws���z���.@��z
��w���A����z�:bE�^b�H�J�w������c���ie���:bO�n'���[v�ms�.����)���H��-cH��dF���h�����>�B /X���]��\���]����
���J�;�O�l2���Ku�J�����l��kL���S]\��
t���qmA�L����A�����N.�����)�SI������W�g>9���
��YW�E��\�k��@�"���++�0���FU��v�V��a+��Qe��-~�1��PEgG��|#))�U
�-z�M?�� tW
m��vf$V'
�'���Y��z!��o��L�,���/�
�������h:�\"�f8�OK��O�`2�_����������g0o�}L����O6�c�+v�/��++8[�]�:�ES���LF�}s1��-RH��e�_����wMU)�,Lr��
<�
�h����
u��z|r���l���������3MZu�0����^ ��P���:���3����!�����tqU��Z�Ok-�"3 ��jY�
=T���y�v���hr��{u/���d��Q��Kv-���[�t*�kc��0U�*}���=�^5hci�U��;�t��6��'����ZC����P��f�geo5E��L;�J������ ��
O�����Z�m��k���b8�����2�e �F�%e�e�����P�E~w���
��
��Z�Q���g�C��|�_�*d��$Q��pB���Vyk�i����1p7�@��h����
�z;�����������N��3B
�=�by5t�ui$�{���*�X�E�s�4���10-�c��Jo�����zi ,�����s� ��cU�b����A%����C$�0�Lf"<6��L-""��|��3>����8$���y��Y
R�l1���W��g�$�~ Q}+>m��4MZ6�6���l\W�5��C��y�J��6�����j$�|��6������#�%�"���\W����g��~d��0����_53���#��z@���9��u���]R��T����]o}Uy�����fB-�4�k�Nf:'F�k��
��������j+�����Ci;�`&����.<�~?yCA!{/_���jc����9����o,E{��_������N������5Y� �?i
L���Z�X�u}�Ud����v�W��4llI�f6sd�r��
2������
Mm�mt�����Ri�=�����b��]��l�
��mk��]6�
�����7�6�����OZ�k5���
wRfIW��?������M��n
o���]��V��T�I��*����t0/�6s
�o��_�]M��1/�V}]�������v��
5�pw��t*�B[��T�i
��p��Fl�|��_����!����~����#d����W�K&jZU���L1��~��>�l<W���
�>k���PNY�y`���["����S��������V����?8?iK����:+�Fu��V�. �B�������SS���Fs����jk�x�u3��/�����`d�)wJ�Qu���������WUb-X���q�����Gzz��U���o�T?6�����f �iu��8�-�E��WE�Y��z� �n��0�M�Y��Z�^\�{ay���4��I��v6�*
��?��O�����~�K��o�9���#��W��]����>��dS<5����2�y�j�v:�y�����W�/_���s��%����L
��}r�����n�����{�����W�}�
(�KU�KoI���_�����^�P� KP��5�<��
�[�+pjQ����9i��u���� �v\��I�Hi�����V:mV�����=��9�c��~����Y(��&�=����T�d�2^������P�8���u��
������<c��p�uN���c��tv�����9�
<p�Y��Cb5�U���S�
����J����v*���z>l�P�Y���R������1�y@����h�{p �d[�.��:.7�K���k�$��oC,����}�
l�Wueg�Z7T�fx�m��oqF����S-����#Q���"�e��]z�|]��Y����ZK�F{��lusY���ap��uo�2�u$�R����j�U����������
j��
�k�G�
+�K�����1;�=G�����������t�1�\��6���[
������R�z����
^�ik��=�����������R'<��i��i
������n�c��n�r��f�rMOR��%
��%d5
���V�H�\������A/�is��O�'��z"N���nW?c��3kt�5�R�H..V���47��"�j��~���T'B����'l���gX+�O6H��Y����J�-/��TU��[n���3�����|=�����6�eE���Y��p+�U�u�����b�T�*��2H�o� ����;K-6a7��Y��
���o���,���N4�����z���x������,/������o�������7� ��V�_�����7�#�����nRy��myw�N
hTzwU���E��rr���x8c�O�g�
1"���ZGdi�Z��f�o��
f�7�
G���P�?qo=z
�i����Ha}^����� ��������6�
��
W����Y��cH���
�1o��
�P������&�/��8�,x���.bX����u<�\#�u�����Q�������z�^��B����H�N�����������`���z~Fq�*/n�RsM�
���������N
9��M?W����W
?}�l�����"�f�$M'�j��0�����4���[��*����|�@�e����#�A^�v2�d�z7��}u������g"4�`�gk�_��.�h�<~3����$�5���}�m�={�xE��Z�0BQ�5�J
�Aq
�"#�0� ���/�w�����}e��,,��vwj��k/����h��;����<*�/����2=�_5[t4:y~t��o�����k�e�~ ����R&7�q ��1��@#*<�/*��j^��gY���zz�
�/K+�p�jnB�k/�B9���R�������/; uV���UoOo���<���S#��@t8)����.T��o���')�@O�w��<�� ����_
"��Z�CD�/����3
H�o#�d=�Z�&�uC�y'
E��t��� �f��k����L
1c�i�; �j������h������������|�iA�Ja�9_��M�I���s��z���{-A��o�^LFR�W����zm�������y�uM�=������l V�DN>�9���I��n���(����� ����m;�fi����X8TH��2i�"��Zm��w���3��suU�fK7�$���B�
V�~y��l�
��������4��V|3�����H������>�ztxt��������E��I��J���Su+"���^��� ��e�1��+N���G����E=������fBkg1�2���'
��U����;�-���J3v
�����e��}�����Gz�����s������'S��]�j����N��ec����C�Y87��Zq���G��������*�Ho�&g��� �x�������+�DY}�=����i������x�P�H?���2�k�b�p�u�����%�j��~�Un����P3�����W�
M����-����f������h�6��9��Ix���&z�����{�3�n/!��y_�
�u�{������������m�d�'N�>q���%�a����'��o��g��Y����zb��3�5 �rY�^��M�e����&��N}
�e����b�u-�*�k��IN�
�E,Ok��WA_~)�N����@[����%����s������\Y��e}���dT/��u�`��Z�W�_Q�%���:a���js�_�������dB�TJ~Z�"�,]�v���'�<��������7����s������g�D���V>�PK0��a�xz�pO�?�������V��D���U������*+��=�XK�����yp�p�}����(�2���P����S���i����
����]�������4��� �(�������iRv?
J�lzZ*��e/�~��C�-�eL�?ZN;��8� �JZ��n5�9:|���1��
�{���r*�����U�
Wg�
_U��R�N/���y
���uK�a����qU�����T`���L4�L�p����p�ZO=z�|���EQ/�"KF ���|��������K��:�S{
7��G�h�� ���&�^�m�w����gU�L�3��'b�������VA���n�_:�/g
P��� ��?�6��vR��6M�7@�V6��X���lz�)��
�5�(&w�mAF�\QVXI
h|:���H�
&�����Fq!{cp���b�7������>�q0v
c��*�u|yw��� �U���U���yze1]X�.����x���������������8��&�f���
h�NU� ��p~�53�L�jI�efV��g� ��b��M�M�����p�.'7�A��7������1��������K�n����*�\���oP��bfy{nDV�:b+�� 3t#�ktnP�V$?��s�&�������U|@�+��%w�
��3��������f�����w�����>�F�L�D�|*_k�&��i7��gBS[#4���d
�4u�h}� �A,����l��B `��[�zq��N������3~
��,tm@� �:;��g��>��c._����q�.��W��9W����o�a_��k��k�Y������5s�\�!2!^g�����ouG��A������+��L���^���+��~C�����=������:��XpP ��4I��T �3�{q�I���8q����w�������+
I�vl�����/IA'yd�����)G����������y|wr0���+~�r���'G�+� �}�����
��
+�I�r����#��Z�~�2W.?�����
.k�����*B(� ��"'!�I���
a�ht1�J��'D��c�H[���u�lr������GV�|��%
��Nn2d �(-����t�F|�-��J�a'�������/����)-��K������'�w����0k�����A�dA��E�no�v�*srg�
4��q���+��#Yy
J��dt.�Z9=�=;��~�::<8;:98|�|�w�������K�?�;��1km����gG����~�����< }�
�~
q��W�u���o��JV� ���������$�����e9�k�.\��f���
�
�{����{%�>Y��\���.���\��}.���u��K��S��$�xQ��\�Ue��
���|�Q� ��d�K??��nv����@��R��Z�d����3���;�������do�����cK=$Q����@��T�1b-%i��)�N�]I�#u!MJ8L��X�t7L�����pT*�[SE�-E��b��I�7C���~�������
7Hh �Rg�|��c=K\�����
1�<�]?O ���
S�K7b�����z$e��[XY����!
�������Y�x������`i�p�*�"'Y��{i���������r�m��<><8=�N�������+
l�>� ����[tp��K?�X�������l�e�
����g�]�y�����&������� �
�=J��p��H�[��
2��82?����9~�r�Wa��eZ���EiQ�*���CF���E��c�ye��y
��������[��~u3�v�o,+�
�w����� m�p�r�F���,��/����}; "~�;z}x��y��
�q�"pJ��R;�b���,�������p����Pa�bBY��8O
7*�(
�,(r7�����0�='��(�����U n�Y�+')U�zE{N�+
W���'9��kc�\�^�~����Q��^�� ���6�a�c�s�����3O����I��A\�-���c��Y
c*��5�C��_`���u��N����2qJ?U��aQ�����Q�����Q���4�T��
�,����;i�����'q�J��s7�
L$��2���T��Y��
�����
����''����#�Qy�6���,-��,�O����� ��(H�%�t�`
�0�!^[�E��N��xphc-����@��[�!�++�8,At���H�u�]�v���S����J7��������$������)��A�\?�Ae��R����0.};H}7&8�\���p��<Qq�q��H�8�vZ� �
9Y��1^'Pq���w'(�C��I\�e�����;��*�0�t�2pK�}�)/��<HJ<�+#
��/�4L��gg�S�^�q�{
k�G��
���qp�2�@b{i�n
�o��Q�����^
E��4��A�I�u�U��qW�a�����x���
;�Z)+��q��
&�Ey����)�/3
{�S�G�Y��Ex�u���]�O�(��{�bg3,#���8I��������k{����nVb�����P86�W$�[*����aW���b��;Y�E
�V�ec�``P��xAz.�]
��B
m'�
��l7
��c���o���bP��b!�^n��O�P�"-RU`;J��
=�� %@$�������^���
����7������@��4e���q�
m����mT����'�!�F
�1�Xdn�d@���
l��`
A3>~Op:"<-�� ��Ijv�<a6�
��������v��I���.�*�{�/#/
���/��e�n�g�-T��
�4Y�>����
�|��p�����i��
/����)�0��#�F&IK< �'`k%���w���rU�$n��a7R;/�p7y�C���g��7�3}N�����W�\ jw��6U�f�5W`��R�i.6�vz�
�{v�������9v%r`�vT�Ihg��KE�
)H���c
������
H���
�7�\��)2L
#?�@g^
���b�I>`�>�Y����
���Ha.`U h F�R��`�����Y�
�
�2("�
4�_��H�,v�-�����-d��_�����K ,<�e�/�2�N��:dvB�� �#�aTl3������ p|HN�}��Q�eN*�� '��>I����I�)b��Y����Y�w�k�
��O]��8x�
�U�@<
�����
D
�+�YM��7���&~C`�a����UNX��
?�H����BH���l� G���+Axq��"Pz���w�w4��������J���.m
_7N���q��1��$Oz���2P`,�(R1 ;��@��
u��)�\�qw��#�0Nf�a��8�l�C ��Z� �f ��+�.���
���*
�{.`U808�i������
�p�oX4N�����M]|�+�RX��(�qLA���5v-Mh��>���c��J �,G���W��+���+�%Ef� �4�r���)
��A
��p�A��
����agl;xy�M���e�xi�8�9.�e'H�����X6�
8
B�.���2SF�)EI���0xWd�'��Ry
�1���,���.�
$����k��+���]�q�
��
B��������l H4S&
�)��,�)
�hK������b�$��o�����
�|Y�8���`����F�`y�txx��%Nc
����C�~�3�!`� q�pc��%8 ���` �
���*!�'�
��A���*��)!�" d�gfi�b/���wl�B
���H4����tH��bE�S�\��A3`�iz�yf� �F� ����~����C�Y�
��"�%/}{����^���
@*�)Q��d >�wA���IjV�]�.hE��A���������W�'a�# �0/!�
hQ � ���
�>�5��)>TR�"V��2@ p�������cH��^��9P��z�2VE���1X8�]�Q�mV�&���h���b�
�k���a�Cb�����K�h
���*
����
����� ��d�V�
{�+�_�A��\<������o`,8�#���gxn]$��� �#�eWRB\Q�A@)�L�
�
h��Pg��RHQ0cl<�\�L��E�8���}a�@]8�q��3)m�u��%��M
�4pi
#���
���h�]��
���h��&[��iW��p�]`���`�A������`7$I��nLb��S��c�X1T� ��L*I����$�p$4�qi���)�7���I�;�ib��ZT�
��,�����
��X&7�N�;@��^
fa T
�"��(m��6��
�-Ru"
AhGD�@|�w���R�����I�
9�cS}pv/�&������(���!0?������K�`��j��B�D!6b�:b\~cUr?��g:D�� ��D�� �a�\ ����������Q%�^�����p��@|�<������G����_�GA���
h�8i�
Z��t�&�/+����)B��H��������&@��CE��#�����
&����x��eN�N�d�
U7 �!!^�xh�\�/
'�[0�
`y!F���2���(|@T�
���v�� ��lV�8?� ]�;\-������4
t���6w+���~N�*�������:,�02���@���0����G
���A����x���%�Ix
@Q�l
7-����?��������w���������4���9��+ Q
�]!���dt@��7 Jbm@�JW>MWB���)���8Tj ���%^,����@r6N���%@�v:(��4����:�
`3��
:,�VY����A�b�4����xCL��*^j"8?�^D>���]�.�U���4�����L�B���
^�[��P,������ ���g1�0�
^��D�6S:
p�#g5���
���A&d��"0�yH��>$N�1h$����g?��\`'���^�
�u�m
`���.8�.��L����:(�D;�
�8
�8N� ��jBkp#���a!G�
1�
`���q
�8&)p
�r`�-C%���[`g��B���;��3��L�������6b-�T���~ �@YO������S8����
)�f��s(��qJ��h�fD��8��a=�r����6~���a�6�P��\7G8�.@z���� 40�P8��
�j��`���C ��b�",�f'�f'��4=C���*C=p(�>8H���t��a���Gv�5���@���H>��
t������E�%aA ��������10y���xaA;�/Pg�����:X"7��;�E�# ���t����
�m�hEC�����$���c\�W�yD��P������8�d���0q''�1�CK�PNe�����.������2Q�����]T��u@{,��%BP��4����^E6��q�}_:@��)��v���\��b�F!6h�O�
)�w �N���8�x��4��9(����L��K���E�u�������#��B�)��i���C�x�bj���!up�?+�=P7�pH�w��&�t!
�
��i �(�������a�]
v��Xj�<�@�J
�5�����bhV &����8�
\�:
A @eA�
���R�������2Pn�a i��b��^z)��� �<�
�%9F
sJ�)W:x���/yT�pLK��
ZC
8d�C
�)r4��5D�+�l ��+\�N���l�uB�� ���U��wH+
h���)$-���)71�� �
��T _�!?P>tsR����i�(��y%�
ZT �����y~ ���C
`!�����C%���& (O���������d|�u*�`�Q�5�"nQi'x��FU���.�4)%�_����
�F
x��
�
�|D�� ��������K� ���
�8s���$��"������
�)�X��y��
D�8����@�x>�
�M�nZ@��
��
�|�c���!��Fv6���~��Xh��$m�
2
�C5(�Ke60=��b����J��g
X~�8 J���O�������<%��4|xV`���KS�U���O�_<�3�,
0�����|�
z�r;s��O��=�]"(~PrJ�8����o�;
��
����'�JEA��l��|��t��T��A�r4`�@H@;&���/f*,�i�bCe�r�l>SA�J��� ��T��
�Z�c��$�@8B�QB�[��]�H�1�j�lr'j���CDd`�h
b,��v^@�)�1�@/�����0]�$T�@Pm\j�*���Cps�� ������P*� E0��x
,�������:G��
��4P�h�S��9�J��V@�YR�����G�("hmP [<�;� =>�
lFIS*XAH7G
8�s
D@$����r�0)<�\����g1��/�
,0���hO�
��.�S���\��
�
4�P�Hhg��B�3���!��
�<z.=(�b�,��q�K���\&9h;lvh��p��p��9��$�3�Q�.K`t���v�s�-�����W���
@1��dkC�8�,�����F
���� ��I)n
(k
y
����i;P����<���
Z��
4K�W��Q����M�3'
z���@����O������
�
��t
����$��Cj���g��=�[)H��u!b<��6�U� ��
�Az��m��9B��!�sq��m��(�u3�
x�BU�@�c���)
�
ap<!�q"������;AC`�s�-����?����"�*K@
�� �^��%���I�l`�\�
�.<�E����*��@��z`[A��w7uR�=2m�G�IzK
�s�D:�1�!�
&�h��@
`>�Eh�aF�?�.�p�p��x?�J0N��r��`5��@
^�dlR(�n�
�������^A��R!Q�$�2�z�x
����C��i�������8`�!��
���h��tx�=)�x��D���c���18%Q:��X+�(����nP���
/@��!��oA���gX<�
���/(`�N
��
�wj����uB�8���P�p�����e��
_�~�q@lT3�� w "�c�9�`!Wt�E���[�3Z�� 0)�'pS��.��K���K���
.t�� �e�g�Mp��$���T�6�7���p"���T�L�@��
��K'���������>d@��X J(0
dh�8vbX�@���9��'lb���1�?p]:��z�Wbu@�6�
�+������4�E��G%�$(
���
Z��pa�L@�e���q#�l��P��4S�Z�'!tr�0
C�*��P����)(r�{NDc?��R�.e'����F,�S��f�l�9\������ gr��>����a[(N�y@�)�0&'tN�n�o�:>Dt�
��`-h�l������vNL3+"��\V0��8�
z�878,�� �**"��y�i�
�S�*i|K�����
���q���3`Nx�
N�[�|��[�Co(A�
$��+����
�J@�
���6t��cpw��������]@�nAAR@,�o�~�D
6*pi���Et��!mP�0
z��5B
�J� ��������6��
�%�
�D�?�Xv��pR�����
JOF':t9�3��"d�\�0��N
W�P���>p}y
��Zi��q�1�
�
�Y���QP��B�����Tb��v��i�w�C=�,
�
��R�OeJ�T���B�5��
B��<EF tE��K
-��b{���m��)�I��w�8��
"��TSq��@
@Y8���H��D��D�e��
������A�PkL���b����p�B(����D��v��B�E������ �����4��LB�@4a�������<���~Fe@5������S��
����P'0��E]b��p���������
W�E��%6��.Q�3���)��G)�����.m�>�H.�E���S�����=y >�
2�2�
E
�Wf%v��H 86�dNN������Q��s#H+���\�1`<���!�SbN�M`�T�����Xk�bXS�H�@=O�*J@ ��1�f�"��]Z�-0��
r��`�O���+a�
O��\N�
��M73��� 7�e� �v��@�I� �N�uhDJ �CH��7��(�=2>�4`C�M�7�z
���&��dK�-wc��H�P��ll:��xV
#J����K����|�D�(��-a�D����z
�=
8`Y9]�EL��`�Vy0�(�3;L2q<��" ���
:.�7�oB����!�KKE���d?�
��PA�j�T2�����.0�LT{
"��
x
2 P����G���9@����F��I�247���s��� �(t
1��0�@�������Q!7�%����U �<v
;�nX��A^���Wr���2!E��&)�Kb)�r��v
����4����{T2���L0����y�����X�( �[=��������f������0�����o���-'4=��Q �<pN
Y�t35���L+*p, ��)�'�_��] ����4b�&�6���
!���
��v��=�y�:���'���@t4��E��,��T��<z��0c�J�~{����`2(7��q���I���&]B@�sF�|%���nO�3po� eZ)�l��9M�Xqb <�N���>�
�
��tE3���
z
�����)�`#�rJ��)n
��Y���Q�*(�
��~@��A��c
>��
����E�������d"�A�tc@ys9�=��� ����D�
����4)s]
!
Th.�(
�A�U)��
xVI�+&V���@bb��������)�2�'�
��#��#j@�`�8��A���g�Q
����
��w]f�mM�T �BD�;�N��<4�*B� ��9�0�":m�@�
B����DKB��q�F��h���%��"��^!mj c�=F�1~!��
���%��s�C
83b��
������!3�|��@���b���Ltp�M2V�Y��C�@�b+���=��n�����/DFx5h���2@GhIE����$��GM����B� �
� s���-q �4��M?@
$�6����$H
00.3FS�GB)V���sL]�nF �����
u
���B����� ��������a�������2~�A���u
P���
c�2���E;��_��
���`��
<��}�y�RR�
+�3%��`�) @���q��Z�����A)�f�@����s0M��g��b�H�Qq8g�.CA��?�f����x�(�%0�������L
`����~��#����Kh�vz (�(8� W%�v�g6e�%�8&���a
<[A�1�@�/���J R����1T�!
�������Q�K.Z0��3�RmC���
P�$�%8J�L�@)�
m��6���`
�J�/3P��B��$9��e8j���������Z� ����4dDRJ
��6}y���������
*;0b���`��L@"d�"���H�e�3�G{&@��
NV@��#��e��%1�\5(�� �Q�
��� �N��u��hh�����e4�c����;A)�
���
���
�.�I�C/c����84�e�<
CR���
�&.��^X0H�T�
��j���Ih{�},�"{�o����
��i
�:1#F��7F�6
X����0^
����JK�� �8����>�SXb"�5a��d��
�1 l���c1@�L�[�0�&���
�����6y��T���
H
pJ
�(��,
��2*�Nn����y&-`
� 3>*�����������e�`�4z��������8�,���}!�A]'��W��g� ��O��]�#B3+=��
� *�2b�����c�KF-��U���B��b��
�kd3P�1�
w/TH��1�e(l:�h�)��
Ac
����v�v<1���
A(� ��*L�b�������kHKL*�ur(�`K6�v`�L��!��2&��U?(�=C������K]2��UP�
~Ik*.*�(.x�XTL��aHV�
�
��\
����1<${Fq���I��Y
A(�m�18��8�����!����!/!��0
f���<�iIQZJ���PS!:������?��R�|$d
GA���C�����R�x�
����}p���YN�bF���VD
���9�2@��sr�\�1^?e@�Fx���B��g���I�W���Syg���-f�T0�r���a3�%1���q��[�?/�
���Q��qD���A�m���
j{�5���(}>�0�"�����N�E�n�V���
PI!+Ta{�+t
�� �'�
920���^�7��P���3��V�)@�9�u��"0�<�����
��1�<%5s#
|�g��D�P*C
>�N�;F3�(�N,B�~�
)i�l�
�����
�o����K;Z
�B�P,p
d������ �
����
�����|=zS���QM=�Q?�y�5p�x�RSaRD�C�=J�>b��Mb
���-r>E�@���zI�e t
7��
��CChb���S��KB����q�>�\[�1�+
����6�Cs~�4�r���I!7]��z�f=��| ��,`�<t
p���$�=�"�;8~
f3v+�<�
($�$j�
h�1���X3,f��:���KS0\z�2��*���q���m������Q;Z_������Y� |?���[���|����Xtz,A�@��S/Z�S����6�
#�@2P7!��
���O
?�l�Y2P7����`�X��1D� ��Zj����&G���[�@�Z��cq3%�r=pS�3Zj�{b A���
�h��a��
U2��1sk� M� ���A�i����.="K� ���
M5���[0� �L�L���N�������^@e!�SHz/��LL ��f�YL�<N
#�@�m{9����
�G0 ,Rr
E���
��_��NF:H��s�J��0z�)��Gp��O������
�b�
�`2F�`�S�����p\������1S�����8b��9V-/#F�(z>%�9�xR���,S������B[�����I�������^�+CF�� ��3<��!��$O������`�"�f CC-}�DO�5��Fq����5���X &�x�p�������@~���0�y�'X��I�X]��pe],!Mx���^�I��g�,im���g2c�<?P9���ss�q���4)����\ &��I���Cj�8!]�@�8
8v���
('>c�F2*�I��y1�-���
jd�hGp�
����� �>�b��1W�����e���hF
���>Y�e<4�
��dthD
���)�}�!���9H`*pA��78*��24hZ���@P���8t
C�!M�� �!E�l�K�h�Q��q���p��6���JT��
qS������e�x��P�b��rL\�������
�:Z�m���n*l@c�@!���i��;��+��h��+pME�9�$�D�tX�����y�����J
��O�D^�#H�
�%e�#�
!�Y2 !~���<
g��9�� �QgtR����f|k��$A�6>�;8v
�H����C�B��K�<Z~h
����#Sj:D�c�)��/
�I1�=� �!�I��t�E(�
�m��Xjl
|�������9�n����-��@��
��
q
�L���s�� �
�HP2�� ���8�a�$���`bt���������������6�&v�6���1u@�_E�W�;J�� ���
9� !<�;�e"q��F@�D%�k�M��3b�T�'Q������<,��i�]��t)��v�Ry�������8��C�
���(D3�����
�E��XfT���K
tLU�4�eXeru�m��'��������.���qp�i����v��f�'8��zB����d!`��Ia����������2�����0h)
x[ ~�04=������g
7MA�%
�\v����/a��&!<��������d�����b�YK�B����f:��j��C1���e,<�N�C���������� ��NCp� �
�cP]�\W�������/��c��
��E#t�!�� H����d
����A�P���fUp���Y��-.�5����Kh*%�@��t�9LH\,�M�{N�;^�h7f�3i��S
�
1�����[hW.f\H*`�s��j����
1���f�1�;I�#XF�Zz8 ^�0��
�
h%���X 3C
��VB�A�M�C�1'-fHn����KQ�3;�&R��9*j-U
���%
�P&<y��(��@}�#�
@���� (<�;�1�ke*�:�I�
@ 0z��?�����t�_�:t�A�e�D*e�
!�%&*@�
Ks� B6��H*$��z��x5��8�!=k.��R�yP
$
8��2����ab���A����o��
�k�����w�
�?p�����!�Al�Z�m2�
�&W��Bl�xd���
�
|�A"��R�
~�1�
b$�=%O�����%��/D@�N�z��U�@
���eF�mdK�;�L������
�w=���e
��� ]U���������
p/�� �
2Fb%
���6��x0r��<*��: _�,Y()�I��#u�
X
Y. M�Qb:�p�!�m�,�+���8�*���m������+�A�&%0\�$gJ�2���S@w�R/�xPU�w�1�
$d]
�Me8���f&j����-}W~�;��:&0<N\L�
�u�
��BI�b�L��0g�j1�V�@6'��M��@�b���b$9��99�D�4
H2
4�aT�3���w�z
m�,%%
J-��'I$y�51�{��:i��4���9������Z�%�X��a�^�C~�XI"�5�,�A��
�x@���C
Z)� s���!����r4���kEU
V�)i�
���d�UI�8Fb
.�}�r>H��@��6��.@!�NN�D������uvqJh����
��9@d�
���=�
h�����$���� ��GX�0a�*�B D�K1�� !���
��cF
���o�� :� ��2X���6
��E�M������b�T��>��d����U@1A�q�;���e�,��XF(xy�8� B'b�*J� ��,j'$SS
/�cM�������k�*
�\�4 �PI��$)��BF�0�:f���>�j1������,�1N��^���y�a
}�����vF�/��-�^�R)+Q���Q�9�9�U���pw@hf�" u�<b�+��*�y}@J� �C4h��CS����a]'h&s�F��9�&1����^�H(���c�����L�H��4�O�_�R��l����#�+����*A��TX0
�a��@�����@3��0�f�&�0�P��*
s6SH���o���d
Wi�������8�N� �H5).e��ee���<�iL.��`
���
!v��!�h+
X]�h-u<f�P/���r( ���M�^fL%��O�_�@�A���� q
����cL.�Zl��
EPc#���,`p��d�/��<���c�
��!y(6�6�
��q����,�@��S�h�H�����+�y`�`�aB�2P�F e_�]3n
�P�����s
5��fLu��_�v�K�o�@
�7������uK��X�L�wX:�QF8p!+��8VN �F}��lf�8C2x������n]��`Xv��a6��1��Bz���h�Kp6&�D
E�8G�;V�QT����Q����wq�-=cL�:h�
u�x��T�B�\|J
��aI��0I ��]�`�!�7�z^B�m�f#u=����b )0�y�Lxw�������Q�$�f,!d6S���I�Q�:Lx�%HMI9*p���`�0�R��
��>���
8D�O/7��b�
�_�j[�<H&F��\jGb]N��
�� �M ���P���*�l����
G?��AP}v��1 �,�6����
F����*���Z
���)�!��G#�N���Q���qk
�P���$�FxLt��Sp#��BL�wI}$�]�%S�L]Bz��t�@QaNO���:
����8 ~�q� ]�
��THn���^z�����xz $�-f`�P(X3&�V��
n��C5������%�|!��vh��p�F�p0p�X�
��c�b��M���
�
p5*p�@L�w�$C�SYL a���� b����(U�I�s+Y�.�"�A����XW��(/cF4S�iTJ�#-� B���
���+�.*���
mf�_������
���B�
�;a�l��~����y�����bl /������L�dQ5������
+F�=�,xW��,��D
@���%4BF&�M�P
j�t7���;���~
�*�d������8��[@�dm�#�X$o����6
H���f,i�EL����������oC����`*n��t�Z����QaY
FU`�<HFPC�������tK�d9xuJ�"E"�!�$�R��t:����6��!��
CD$L����
O�J�8b�@��.����e��s��a|4+�1G��8��$O@ _
N 0��d^�M�C9��c���5�y�`�����SaM+�v=���
l
��Kl��e���l�cN���Xa�;4Y����#��!C�yb��@�cq
B��
���$��s3����e4j��e���k)$3(l,R.���X�
��Y��a
Md
?�
�#�� (�Q��0�DdL��i-s[�����1��:
�aaS����h
�����0�rh��F�bZC�O�
��|�
�*���0�4`
�WD4��6�<����A�
�uA�
c�
�p�cl
t��'�5(\:���%�� �el|W����A9vY</N�Ub`�N�0�1
XV �����K
b�!�W���
y�3 !�L!b@�
�<����12�F`Z���BQ��
Rb�u�B�
>� `�E�H�AH�o� 3 E�"h��L�1� C=��;�����J2&/|JU�b��1�$v�6�������z=�!�R
w4g��F41�y!
(
R �V����Xe��l��@)��e�#�|����3`��^Y�m3����w��\1��i�~�!=A�Ly�*�Y<kx9�`�X|�H-RLY�J ��E;�����{4�10��
,��S�fI!������S�WLK������5~��!7�<�bO�,�Fs�������V�E��PAL��]V�J@��w|E,���l�t��/�}&�.�E��,-���
Y��b����U�w���.��B�T�X
~��;������O'r�=2��N��&� �:��7B�
i��{B�
�7@
+va�fb��:���;� �(�D�p��K�u�*L���NS��@��a� �^RB[��BC�9� ������g� XB& �X��(���2��S�
h�xM�P��H
�
IB��I%#6T�I�!X���fP�Q �%��������/���B
��G��h�\&��Ky�98}���@���[���9�n ��a�]XbR4&;�����X��� ���
�@
1l��_@���[��9��u�c�� Srp�
�������6
r��JW�W�88�A��
S`Y|�i*.��C��N�6��B��1c}lZ���Sr�n��������
:O!QS0!H�jo�2h#Aesl�H �f���35������GK$#��WY|����y���2o������g2����,
1(
|Q���_�2��
`@+iy@�~Q�
Q+��D��d^ N��/YB`���4�\rM �����&
E�����������>�
�?`ht
����A v!83heNT��a�T�y�C��T�.JpN�M�
�
�W
���(�V��
k���S���84a�$1
,�Bg
�
{������0�M��4NK�b�@eA?.x�2�?���
����K ������,�NwJ��Q�&����X
4��b�k�u�XY]�����
g����a����#�q"��`�L��Ch(��h� 2D�+K�
+��i&
�2�����N
�,�f�/z��1��
4��XC�6#�_;��A
���W,�N�J)$� �����IN��.-�
�oL=N�����XMzlH��g91$486fZ0��k"���sA �����%���e-
��t��e�����DBV5�m���I%&��������J�3J�`W�~��������yZb������GX�p
8���,�KK8N"K'�� >�� ��
kx$�6��.�����WcX
k
�6�;��Be��M����`b�b�Z@!������N��!�zA�
��������q
�4@{$=��1i����d#�%?Q1,�g�=!
�=�W�e��DP�����pk��K��D��`d��c\D?,�u@��L)d��r�����<�M���������u^x����W�����p>p��b����0t����#c�E�S��R�!d-&F���������f .Hs�8K�wPi���+����T[z�lm��
X���zv���
��ac]PA����F� ��
0
Rk��]@UF��t1[�
F`p���+fg������MX��Nw�K��Y�z#
�aQ���ff0�C���`Qk�=D���S���=� �*�����z<���@��C���1���|&;b����
*�h�s�I�_
�y��mF��0D����
����;)���p=���h��$�]P�R���r�����+��r*)�$ e�����8�Mt�������
L��J�YO�cL�$�c�;�X*����
j�X���!��#&[� `
�(�r�a�.t���*���D�E2���z����
s������B�
Y��A_%T�������@t0O�f�%����
�#3�0-/
hdf
s�e
�TSzC�{�d#����B��&aWf���B@�kA'�������~�S������-iL��b�A�I�*����SCL
4�V�h��Y�6t�L��1��)��8f
��UY� d�I.�����g��_r����
�9\���K�
� c�Y,���a�2�e]�!�_Ph�e�V'��Le49DkFc��A�U96�
�r �� �g�\��
B)e
���>?��"6Z�s�8y�%AL/?N
�C�e�9�E_��RD�4�,)5Tb�((]������X�,���A���9,
L��#���S
�H0���
r�R`'�g���_�A3�1e
N[�
@
Pq<�\�J6
�X��+�Y���k@s)������9�����2�B9�>����,�9Kn8��`��\�L���E�g�c��p��`�
����
0�������
GJ$'`�@=9+[�%5��C�`.Dk�b�i�z1�lBV�rY��M5�\���,90_
�_�i ��,U������1�B�+��p }�����Hp ��P��+�2e�@�2
��Hj�V��%���d�Y����]:a]�U,aY�8��Sv_Y���=@B���hA�\��;��P��(O�
�X#
����
��Ar�9�&`
��d
p���tYj�( K8�h�����T
S�� ��O�(`������?���1#
2S�� `I�Ryq�
7�C����Z����������+�h��T�`8���k���e�?����9c1
�����N���)�
�PF���$
@�H�l��!��%�B�M
����}��2]�9b
�
��L,M|��#���q�*J����"���{�#]���� *Y�%�Sf�)��,x*
I���,:�
-N�*�q��
1�������~��@���g�8*,SE�aQ�@������m�D�@R�heH7�/��n��M���+��b��%
(�.��`�e#
��'B��bgXa�Q���c]�
�*a�"e���x�E�d,.�L�@��R��W+S�
Mw �F�)��<��d}L1�(?���dn
w��G N�
=���~��
xL��+���
��"�������c��
�L$��j,�9����
y�U�'-��v���z�`��=�Y���Ez��:y
gL��d}Tpl
�
�>��K��L ��0Q��� ;+��#+����
����v1
$�^�(<���
�aD���������E��� ��
�
�a�/���i��SY�X;�e�T��a�
�V��%()f6�"n��zK�����$=���#�
��.�l�d�UC�����N��
��`�rl]o�j
0����*F��6�RX��&�9
t
1�c_'�
�m8S�r�em�B�����
��r�D�YUNHH
��W��
lP
�L���#N`
��Z��
�;��
� �P/}%�m��La�>W*V�X`�k�L�.f�{����mQ�R�K
K�.I�|���-��f�(���s���)0
����60�X1�i!X�l � `!^�W�.(�=d���U��n 4��i?`��u �����J���,����5���
J c��K�
�"}?eLm��X�T��p*��<:���r����1T08�Q�?�u@1�f���}��;�>a5��U_2�m;0SH<��f�����iBJTP�mf�rI�5���4b0)CD���f2.^5�594����w��t� ����J(hl8V��m��\ ��l����a�U2
� ���FB�`�
���Cn�
k�� !���UoBVSdra��)���
�,3th
%8w�M�R�T���,a�Z��%��sf/Gm����P#u8V�I���$
�@_kZa���A�p{ $B5&��
������d��b�����3�d���E�08c/c��`�^�O� _L�V��X� P�&�<��f���5�t
�u��^��K�c0� ���kA���`�1�m�<��
���q��
P1ED{9�wA>c����V���P����A@a���;2���!��*��~L�M��Y��jU
2��f� Gl�.3 ���J�
�
K��=��Oa�0\���� tQ�U�������a��������4@���\w�b�������p�<��`6N�����f�S�K���vn(
�T��mh�L/`�!F�@n��� m3W�����v:I�P�;���u
�.a>]�X�f��IK�O%���f � X�n�.����@{L@f�)�?[��$�G��T\��
�� h�
�����8�.���Xl�G]0`Q���)����]h6r(�q��X��1�/L���T�<�A������~��!���L�����
�;D3;��0�����6�kX}����D�f,%�<����� � g~�Z�R
4#�
Y?Q�H& �.�����D�"�X�,QXj{9s��'M�A�Y�#e+����B�.S,r��rG�Tw�>����.���L`O.��d$,LB��'��T��?�4`���6k
����1b�
;
�@$t��\p�\B}AF
p�
�T
�ek
���M[=X�Z@74c/����3(��E�jc����l��P�p0���x�
1,��u�y ,�9������k"u�����.h��E�X����LnI�4����z���J�HT�<@D'��=��{�h��%G$��,�$�������
2 2
*<[%����^!!ao��sE�R&���d
lE�0NT+f
�!�����b�h(b����Zb�Yg��9��.�
�b�Dp<fAlQ�XUT��k�v
�H�
���4f04��X����:
P����\h��cK ��A)�p�2b�7H����D����9��R�������U�1`���eB�=�����\���Ba�fF?ui�cN4@� E]�>U`�������
:P/x�K+�:���
y�c��doV���m�XwIE���f�H���-��a�
�-����A��v@h�d"�.��%=!,�������%��� ����Qla��,���Cu��z�d��>�9�^V����@���?k�c
���(����'Y
G�m�J�t`!\�{���A�� �����r�\��� ��:�]w) KUAB9[����eF,3��9���� ?�p�����g�X��8�6�_��1Ngr�8b�4H���T�L����.��2&��8���e�d�A`z�vqY,�<�;��a�!���0��]���E%����
�
�����
�C��,��{�?`1r_�.!�
�Nw���(��:%M*����S�]��O��(#���@��4e�+�8b3��as
�7+s�:"�%3v�c�����@�����"f�&T�Y�
����#xX�"��z
X,�pp� �X���n�&N��
�l���g������(Fs�� �"`
f�:��������$/�i���z�2e����p����������d �4�����{���"�c�+���k
������#�vH
�,�A���H�S����b}N����mV�R4p�h:�;bgY|�S�
�L�N��n�P�&R �
�
������
��RzR�@��T��rII�
z`@� CHm�`����^�;�l %9�+��e��7N�
P����#\��Y
�*Kv��&��F�}�
�4��
#����`G���[N;%S`i=`P�o��f�=�d`k&�I3�d@2�g�f$��4B2�����{�|���sK
�q5�H�`��Y`T��%
�NP���M^Y"�)R>��;Vk��H��������&i����_a����
���@@P�s�T���Kq��HZzAF��t��xND�gy6�������!�8Ah��� b�i&�� ,~���@
aBq(�B����4�����j��%��������o�� ��������
[��D�T�RH!_��k&�I��� �
6A+5�.uK@*��,����r}Q -+�0�Jj
0"�$��L�<`�<���Y�&���b���J�186���,`�nF�={�0W
�K����������}:�&]I�=�H�'��j�j�{ ��(���
����-����
����EY��_.��c
�0Hby#��Ee���5�B p�--���rN�,�fA������������1��L�w�Z��R��\z�!MX�
�S3b��rlE��b�*�`{N� ��^)�x�p��U�X� �i�A�� ��:�Yd�gLA1M$L��.����]]��
{
�*OYeL�R��g�I`�O�e�p��(����
���<��DR8�0R�dsj��
kS���W�u4�(����
���
�|a=�����Q����X?���F�
KTK@d@1��r�P�.�b �n���C���\L��l���� ��=����n� ��vKY��m�v��/e�C��"Q�K�� 2����R2�di!��1}����Q88�#
���y��}�m,��d�@7`
v����I�aK��p�� Y����:=�$�#i��"j8���b
�:�3�'�Z%)
|�?({
�%����
b�0e����]F���*P}0@��B!�=_C�8��{<`���y��/Ft`���*.�8��*�i :g,�z�a
lnk��
.+;��;*��H�
�����'PNAU
�9�� ���fXh�
��2����?�r�n� F����G��`v)��RC//-�>���U�e�Z3|Q����1�����d���E���CR=fd����k�X ��� �d&�����d�m��MO���,o��>)
�+�{�l��i�tJv���b�����n�0�R
��X#���VV�M[���<i�sYb�
���i���
��[Z����0�m8��=c��b�~�tf���
aE�D
0~���wH��i}��B�'�L
�S*�
���YA�]bC)�
��E��M( e�l�c'�S|@+25��(��IX]/q����
`Wtx{6y���S�X[��K�f2���DA�<t���K�L�W%�Hy�jE�.H�e�[�v���
c����T����Vb���
�?�(3c�v�*L,�c�4F�R �\Q�1�����gU�b W&`��2S��l2����@2���'4��D�+U
��`3�i�#T`����X�Xr J����lM������
)��3��m���t_z.&����5��d?Mr,�g`��!�1�x�LAe��$����8�9�}F����i��!�v�C2c�������,Yu&�������FC�-���Zf� Q��$�P���/���JSBb�P]j� _��k�M���� �$$2��{���p�s�9�
���N@q�
�lU
��eZ�h�
�PN,��������U�i@E����]<�P:Z��/J9��R8�
[m�����AnR��w�s��k���$�a���6�����
�[���su�V�uJ���&x���
*����=!�[��|c�Gn��E ����|���Z�����p�����I���
�@b��5W����>+d.~
����� [R���]���,|���Qk�'��h\�?[� .�M*n��%wTH
��UM;jAy4^���#��3�)���-�)a��Cb���- V�Ao�lQ|
���`{�A�����v����ZZb���m�%-� ����
��
�R��>%��z���@�T���g^�>���7h� s����61;hU���� ���.�\������kK�K*R��zl���������������
E8�[�
i:Q��H���s<�!TPK� �fp�@���������)N��,�Y�]�W��5F
�o����;I��pv������u���NIJ
����T+�� ��������E�K�}QI
z|����,����\-/q����(�r2�R ��/��8��F<�L��e�Kj��/o�u+��U��N���9oZ�EvE�\1w������������!�����>.?
��T��'����-�u�L���������b�Zh��r�T���_��X
b��r7�O}:����]2�U�J���;�
�]
T��������G�8�/W3��%����"��a*�
i��=E�_]#�� '406�����D`w0��!�:��L�J�
��L�n��G�BR@��
��y�x
09��6�9���E��r ��5���+J��
��������WA�����`�vn��WY�8�L�j?
��,�j%��� >�]�O�,g����R>g1�*�:���V�l��ZW��$�U���
�c�
<[���&�l��d!� ���
�[vo�_�2�^���n�J���AN�"�
!���-��r�Cg
�C�r��^:l������[hq���6Y�#w�;��")
Zcr�*O��x���E���,����s���q�w�����<�!��p� s;B��0j��k�]����R��m*����&��L������D����
)��2WVW���c�\ �6�%�e�� *����k�S�$�����I5V�O����2�:�F�s�$�\�J� L�)I���b�8��w���N��}��
u��Nn�F�.�3��%(��!�9�\�Y��j�m� �JjZjW=����@�l�I��z�,Q��7>1)��j������l�����G���)�A����9�d
�B5
N���lB�%A��L&�{�
�
����S��������v��6�c��-��g� ���"U�#]��e��Fg� �K8�T�'�,h�z�2���7%/��P��x6��L"_����KW#B$Q�� �6��2v��\�[`�ih*�>�x�+r��������L�~�2O���e�,'o������]�P
#��L1��F��o�j��D�*�I�q���G1�?m�$>�
���a[oe][�
�� �u����9����S�hN;i���;&�>n
S�@���$x����q����;W�P���mzI/��k�����l���SZz��"�o�t�SwL��;P�p����%���:JV+�^
M��LE�����s�+��H4_�
x�� ��\���.��S�]~�u�>5
l�Rw&�����O��B
��[�����,��2/}���>5?�E� td
�:Wu�r�Jf�JC�yV?.���
>�[������)F@������L���!VO�v�f �C���&^��j�w�s)�5IS{[�L�Z�?EE*"� G�����C����"uw���������zE:�A�
�7?�9`���r�s3.5,/�����,)���/����������1��.��`� �����>
���CT��UMU��]O���G�I�
ww��D@��$���$�-�Q��=��������!'C�M25��d����t�:6��Utp/W��2`�-zu�F�����P�� �<���?�#v
|����q��a�i&��Lz5S���9�.��t��
�:��X4���enJ���h��Ll:�S\�E�)��s�g\����@���Iu��*vE=�
�G��Y�
�d��a��1�Z%���C�����H/�J������N��4pUf��1y�7?Qq�b�I�����r���i�^�%�y�Ws
��q�#
� �9IKm�y�Mlv�f� �]%��l��.�c�H�9\v��K�z_�������0�2����X����oo}��H�VS!;��vs]f������'�[�>�"�����F=O�A��9�������G��]tS<�.���� �:H��C��J�ho����Y@}��9j+��3)A�w%o�@�D����%AUia
������6z|��� ��� �����E-��Y�P=�����ZUT�R���6�Rm�r|�|�v��F��w83�4���i�� vq�
TGr��D��6"Uy/%�P��R���
�:��]
j
���k�]k��5T�P���n��)�VAU�je^�-�gu���,�T���wE���\���P���(e _G�_M�K#be�IHj(7E(��gq���
��nU.���-
�FZ�k|!8UfL{F�f?Sc���T�AWb��
-��]E�Ge�&�U�������y��V�KW
f����-�m�to���(�>)��[���_Q�/u:p�!ke�C�"�k�e���j����p�;������6�S����W�����uVU�v9!���v
���,"��5sd�{�L G�^%�������(K����<�{]�,�K3���W�,�=���@�k��A�����}z��H���]������U��0�|�R"��
�H�P�~Q�(��`�J[�����:���t���+�"p����xJS�P�B���E��v�iJ
�-j�r���js�k �a��EZ���r8��j��%4��IJ7
�+W*}�����z��*y�XIR� JR� ��nB������R^���5���
��s�Q9B�#S����C-s.�^K�^��k�h��e���*���!$r�t�'I�1�U���� ���
��s�����2F
�'��
��i:��Q (��5
�����j��hk�l���
����tJ�+?87�Sow8DpP�2_���r��
�"��D��)�5��;�/�=����1�����
fJ�����-=�oi'a���$�
�$L�wQ-�y�S��b��v�c�47g�fc�14����U:��pA/����z|�*�%�)JfV���b�[��!�����Cv����,n<��j���q�Mc��������
�������7������wQd5��c�t
���d�V���Gi{��lO��p�-9Vv�����<
��q
:������4��Z���t
xft���<�%Y���Qb�H�tE��65R,�g�i����a�8e0�����������
pG
z����W�w�������n��F7^���G>�X��:���r��c�|�����K�������h�\�T��v]qq�I��P���R���_��!;BO��&n/�%��l���]��Zu� E|���U��0>��rm�H,G��UQ����zmQ�G��J���.�}��pq��.��L�S{��������**�S M���n��
�.�JKw/�T�Y8Y�%��"18��sM�}N������9����*������.'�w���b�*
,[`��M���UQqX�#D �wus@u��
.>����m�%
,e^]�)�����������R�
�D�m��Q���y$50�<�xj��}���/��\"��3l��g��_��� ���J�ct�����mTM�j��&!ri���&[��|A�O�c��o+��9�^��D���ai��:����b�S���k�[�@��:A�/����-�rP��1��L�dxA�RJ�����Nb p#%����4,q8�CT�����E����p���\�I�%8$�?����c��~�)��&,>��&^�>�wC��%��E�gk�H������1�����ey�Mt�������4�
���e�T$e
� �Z�<)j�C�.�5G���{�'5���v
^���&P���*��(��[9=��$o�M�_2���5M��VUU�u������O�=� ��|�d���P��%��!���{�
�Y�����j7���Y�����\T!��F�a�t�nT������<��Ve�sq��B���6�15�v8�n����noI���hUO�l��U�71�^�����uR�)�G
��l�J
WID�j�%L���E�D��Q�����Z��dj�ms;�H6)Jq��D�u_T�z�7�����C|���I>�
L�����~4�er���^.������q����c�p�k�7��M����+���2��&R��
Tp� dY��t��2]U����A
���1��=^�#]w���H~0�-�V�]E�m{�v<��Z�'��Jd��k
H����ks0�)P�8M�:H2\� .5%)�������C�����&$�s��=V�H���w�
��
�?����a ��U���L����T(����3m`}�O��$L����������+Bw~Hz���F��n�>���C��*e�>��]�r�����%:�s�N��hycG�9BdJ
�o�,e�&Uz�#3��II��?M�
?��~%��"��G���"�a���� .��X�h�>>��b���8���F�s\�������9��{�}i6F����{�/��v��.-��d�k �n����rex�^���.��#5���F',~�����j�2U���F���a�?S?�l��
��2�V���TE��������u��[����]��g��~Dx����%��K����7�W�V
%
{�6L�u��/��-�t��8n����(U5�/A>��z^.�t�D��a4���������VG0*m�xY������E����;w�eA�H��`9W�����������������S�&��#u�]��ZR�ALM�_z�i��?w��c�`�:�F�����8
���������Z�(��m�ZI�(���W�����R����6��
�aW���U�� l��BqcF�W��?~���t��~�P������C���,�#�P
X��P�p0��~���q[�G�������=���
����Gyi�
�� ��yA���u���G��a��kV����i��(
�M����5�����
&�o�b�����:�;�w1I AO�Vy�������:�����������kj��h�X�C��
H��@����(�����TQ���N����-*���"Ym���JD+����Tb{��p'����dv���.J��u�5������f=tz/�wQ��lE��"�sW3���;7�K���)��+VRo�jScq�Q��W�����,�Q`������}e����Q���UyS��)83%
�prND!�Uj
��[���u hQ�]r �#�
dC
[R\/eV���I\�2U����S�V��"r ��T�����`4�2�M�i�<FR-7���#����j���{�r���U�Sq7�}C1����k� ���Z�|}>%�xE��_��^�D��#��������J�s�RT~�G��R���L��|V�;�+�
6�m��p8C��`�]��|5��t�cS�w���w� ����o7W_�WU��G��U'�
C6ZQB�0E
��RA�����fn������QLF��`�:��E�S��}8
��XN����:��h`n�����6t>C
5�qD�D�]�
*�,��|'���PfG���
O�i����h�h���tl��a�kf�
�(q�N���^��Y�m (��g�!~����ds���
�I�����l�c+�6���7��n �W���KP*`�M�`^���a�:��g*��
ps���������~�o���N����M!���=<1����{I���%��df������}�����P�A8v�����f@x�����$�� �Z���8j��.�zB<j�j����"���}t��MA����.�m��du�O
|o����H<�gM�*�W��~��;�Ve�3"����=���g�W
�?$%*�u���{�O�a$.��u�����YJRFn�sF���Wv��Q�h5R.���H�R��e,�,��u��r�-�����R
�6��������BWf&���H�x�Ue�x��C��b�E�~������B}E�GI��&y�<1N���]��������H���
�Hz}�N_�r�Rv
����������R��*S5�'�b��q�^;� �-m�l!����
��9�v��]��U�����lM�F*{5�Z
{){RV}:
P�hs����.'����nsI6��2�J9���}��s/�x�jEC?���U��sR]Hzx,�� pcJ}dGe)o�
�
��'��vp�JH
�J�VzU�`�g���,![nd'�������
!VBX����
�v;�����Mr��q|�������A���ES�t���#�K����r�E%����S����v�w�v��
A�)�8��0$;���/�V����4� e���H�e��m���)p��A�����W��;j�z]v93<)
`w=]�����|X�����v���K/��3��2kP
Q9��A�Z���>
�#�Wt���� �������;��jf����
:���X���������}Uu]y�s%B�c�f��g��`����
l����
��;H
�j�#xJ��+,� ���%-Y�
�.� DeJ���n���v�������/
e�U+�zt^W��G�8�����%.�=�-��aS��C�7)�m )�A�%�w]���v ���D�S ��
��=TO
����]�2���;��z>�&@
�SdJ,�*�O������ �����0��sw;�M���f=�B� s��Zs�����Qy��6$)Q:e%��M�V��x��
�$[�����8e�Y ��-�B�q���� ��"�c�J��1>�
�Q�����NUI�l�����)i�H���BL��5�[H���89%�t�����i�[����
$�#�d�W�V1/Y����:����P������w���
����u/���7����
]���io���?�����X �F�2��t����
8���{p�.*���
1�r,E'q����gS�4�����/s�TU��O�{J�C*R��m�������q;���6G]"
�DM�tVU����������/j��
�\j�SY��)7j:�P�����X��s���{�gO?��@��=�B��
y����[�5��'��
�\�:
m���u&<�*9y|)%
Et2�*�����-=@�V$�������r���Ym���b�6mG���[� �����|.�-
�M��,=G��������n%[��T.R�)F�y�o�,pw�Vvu�Lf��dD�"?����9f�k���x��bU`
��u�}�:������K
�_%y;�{ �`
�'�6"����p���~
��V
Q�*'+�7(xea&��,��K\���jd"��C@�5(RWd��RM�yT ��z1������z��QA�����$`q�l=������a{>���!��IFs����W���e#����*j�Xw�Q&ru1�
S����� *����2�����WL���\�94
)RS�;�����=~����zE5A�P
�K�qAkk����.ri�4���5;�6����l�
�$u�U����:��)�L����V�V�2?H�����l:�����w7�5�����
�E>��������L�O�OR%{p2
o�f�#�)����n:�r���t���
�]{d�D���6���p��#�0�N��O�Z�����iZ���X�S��c$�T����^}�h�LvFyV���+_v9��-H���i�~�Hg�ppT����
.���)����������������
��51� �����e�
(}y����cWa�
���T�� 9�$~�����Y��������Y�
q��������i������5�FL��h�T`�n�?�r4yn5�y �������+g2�zH��|w��A�o���+8��ny.�����]�������H�������H(�I�.�A�!��_�c��/Q��h���&�.?r�����d����JB y&\�&��s69�3��K���g_�T<�xf5���3]U��}����?�;�|����j<�$�R�
�^�EFR��=� ��,�s���� ��h����)����(�U�0g�G�w�W��
9Zh� ��S�����U�E>B�m�L����������-qd.�0I��Mx�
@����Xrn5�HD
�@�u!�d��������F �i�H����b� �WmsuH�6v����@NA�H
�Vn�RW<����:��^%�p�sRg��W�V����O�T��V�&�|��>�n��{�5�4�P�J:a���1
���7KNw��W:��C9I@��� �������R
�1�8�
�i3�PA��5G��}4������!
?N�y���[�L�_�L�u�w�%K����w��M2QU��=���i��BO�U;��%�&y| Q
?0�����N$ o����C��@:������s�B}.�<
� ����
U�A���
����e}�P��?6���^��*��!)�����^�����t�~�l_E6s�jkL�
��!u.����/�����g.���Gs@��.��`��htx�=)����&��]?�k=F[�R.�rZH�e��;��
�_2u9�bY�1��2YJ������� ���z�����Aq�[��7�&1��o�5A{�� ��6�e���GF�h�����`�D��s��*���
;Y�����#�~��e����?���B?���U$�N�x��o����������u���OKW�������s{H����K���u�-":��W��l�h�������
Y�W��_��v�"k�?�
�v<���
��W�eiK���c��=��
��������
����Bs��v{H�(���������Mz�o��|��vC��N�z����p�G���8��`kN���R\��=8�C����� ���/uQ�J*�����/����n
��r�'�~h��������@v�Z�;�'���*�PF��5h;
I�Ux���5�[��W ��*X��D<���]S0{���r�q�t��*�����]w��9*)~R~����F�+���v\i
J�������P���F��2gTG���:�����Zp,un��n"�Q�T�"�!(��%�t!�R'���L����4 �JNj�� ��r���l�6Mk�����}g���i���i�&�6�_��# �
]
K*��P����P]1Pk�d����
!P-i�
[��G|��y�gR&
j�>*���k�y9���j*���[?2���G�b���>����l����~��x����
=_��y�5 k���Xy��� S[�����C� qx�����I��,���J ��H������:L��,9�9�/��G�����N��g/���e�
pqF'��fzVp�5��8��~�cSv�n0�b��u,2o�vJv����t�H�������������K�c
_W+w
lIG�X���}�T
��s�x����,�
���|$*]R���s���r
�s���p F���U.�p �@e��p���������pu���2�=mCk���=��VM���)�A�
��z�C��
2��j(����n�
��_�E��x�i�I9 t�
>�1U�P7��������6�u����T���{j��C�:�"�:n��������T�\�Ku��!7�������6�6�{q��0�k��v>�y[Ti����YZ�����j�Y���v����d�[e]����
�e����Q����"��{)EP��V>��D�U��k
��'U e
��T�nB|TYTy2������s�q�����
��f.d�����R��4���g��l
��:�r�l��|��n=P��\�r�L�P��Py!�@E��z7��K������_��M
������rk�;r�v:�X
�;�I)��Z�`*E#���c�c����u<���m
�Ml��|�j�����6�{��*�H�
��R}����������V.�i^i-���P\p��|��VrgO�}�e'�b�r��������I{������pt���
K�h' m3�X&^�t|i" ��-�=R="z�4�e��z���
�h��n����3r}����!�#����
e�g��/E�9��/9������7w�E�`3N���,���xlG��"5B|�:�8�q���SY�f����h��|aq#�O�>�b{(k^��"��
�n
�� ~(m�5��
��DU�T�����q8���{H��g/O���)s�9����W�2������o����5w���JQ�zhM@v3~����x�
%�-���8��WP�;����x&��������t��� ��4Yv|q����:�\�K�P���s�������
��:"/'�r�K����Gj�Z��c��pP�}��L�cf9bQQ��1���M��7�M�|g�gg���V*�;�����Y�0��S'���8�<�K�-�/�@D��T �����2�.������RD�
a5
�n��,�F�s��8
C��
���b�����P��(�]�:e�N:_
�8���[�wUa9e�V
�
lw���q�G����u:�
qo�+��g*��zuG~ Sz��5���A��2���$���qC�1.�
��
�������,�YqY�
��;Bhz�]:�L�<_-������@���}����Ab:p�\px�<�����j����[�y����]��i�����Qz�����~��e��p}� ��t\�T�[�A
����j��<#��-���mckJ�~Fzj�t����T��.8���KJ�i��8�K���lfT"��du���d�G��'����GQ����7�h�@ ��i7`!��T P��R�iI�H,��*"�u��k��=��]
�z�\�x����6%�.*�Q���5A�R~oEn�p(��PAR��*������X+O�2{u<�E����������Jsr�:�H%���X5AMQ���\��y�D���Z����^����#}|�Q�L�sI��������
��.��K�Q�;�yQ����Rr�(�Nx������s����<5u�L�w�R�
Y*)Q�t��#����T����W��L�]S��]���F..�J�i�����zJTw�z�t����1�T=fw�^W��]%��.���@p��x��)�P �u|���l�&�&C{}���I\N
���m�#��p����
��5*���Q���&\�$2��:D{�������jQO����Y.�fH�����:p�p����B]R���}����8�K{N@�u��@HS�"�����Y���iq����A�
wV�Oa{+wy���T��L���
=��d�� �����-S��
���t���V]�N�aD������a�7�9E�Y�wC.����#J
����:��Q���z�
)��\~���3�-�H���n��UOXe��P�
��G�- G������"�]E��E���+w�
dIP� ���4mq�p���;�&8o.'x�d��C��F�A�k��s��*Y;"3�������Z���$����xZGV��#�������V��c=kF
�����}��kw�6����Uh"�9
�G��j�u�dIp��rTn7k�
V0�#�H�<arW(m/E@�j����"�f���$NY��2�|
R���Pa�}@UaZ��7���3�(�V(�����NAc
�+-�|c���������>����Ec7o
��<T%ZD�j:75S.���B����6\�,A��<Y��1j��8!�%�R��S�9��VKuTO�@�gH���K����p(��6��5�
y�nI��w����Z,ji`j�[����)=u���U���+������R�w�U��ALE�����$��(1}��^�
<����n��'���Ky�k�G��[�������m����������G�����}�%������{F�����IKIP����^2�
H�����_'�}�4���n���EG`��z���G��0���~ ����'�������*��
��|��R}j����
�
���p��R��M�����d��1�5 �
���������$
xAJ �O/���1Ic�
�<���X (�v�C��pz�|�m@��_z�
e��*P��i��PW3�)@�i��!�T���4����z����w��H���*��d�|� (��!qF��"�f?�kI��Q�/3��%����bK0&
te��qQ�����*������uk�)�����Id�\��T�a������<�d�+fj����6�!��wv���k^^�^U�i
�����1(�$-��q���+\I�;��AF[�J�S{Dg���]���w��q�|��}�5�|���*�"��h�T��VC�)�p�������R(5��%�8�_��Q`����9F�����n��*I}��F.Uu��i�s������'�
�� �;y�q50���
� z�f�
�&���������z��?�K
K�
O��2�
s
���*�wn �<�W��J����}�p��N�����D��K�&w��L �:�8�0���inq���� ������e*���+D�
��AgF��b��pH �.��q�S�a@h��7� /�
��F�������R7`�
W�:
��^-��;��U�\�e�,�*����������6�UzA�tU�����Z�Y .�?�����
�u4�:"�����
�$]�u�'�B�u<Z{J�=�;n����ySGWo�Y(�����4s���6� ��R�= <���D��e<B����)J���q��^�S�2�0'UI�V�����W��X��ed�Q~���
�b��k�I�G���Ux?J|��5�>�p������\��T1��K:��~����n�N���b�v�`9W�^8gR���
�>��p��A�ydx�HV�������F��3�:�+����6���M��j�����U�
?�P&�$�����SVj�X�lR5��DS���Q���������jMiW���SeS���n�m��Tv�u�J�S
�A�G��~.-!K�r�����+
���dp�
���7��y��dyl�l[)��1��Oc�i����1k�llY��!�[�_Gi�^��W�����{�����k����5!T��
�����A�#*��r[����4�8Z�d��j����%������
��M�����)F@.uSY���i�rw����Yh-(S�:P�G�'�p��
� h���.
�0V t�)m��������]�
R���k=����:���F�t��Q����9����I�p|6l��B'!R��IE�1
����;}���T
��Kas'k��M$i�����>/��<|�������E�b/�8�T������uh��;
W���f�����_l�:��z��D�G�{YF���"J���R�o��<� 7h�f���
����dFV�]"`��4�TT�CH-�H�= �D@���[BK��A~��:~�[�:����D���ok
+*�����YU���"��&���������W�����~Q�V��$]���6�D|���&�>��R�6`?��vq� �P>~]U����2%+�fK[�G��$�L2��T%���S%���v�\���-P��Z�K2��s�/5
��>`��V.D6E�N��3iXL�I�U0�
#V�����D�>�I^5��7���
�-;W]��E,���uG5S=�����~�I�l�z-����Y�\^7��k���)a<k�x��
�&cP������&�>����R�����qq8�p��w��E29��`���s�)?����:y��*� ��Ww5U���f�$k�Ec����!�vc�+ST~v����_W��v�M�K��.
����{�|�����p�D�74�Y� @�}#�6}F����|����dXN�g��IxxZ�({z��'�]�s�'q��������Z�wR�x������a|�I���\�mS��l Q6c�jA]��u���%�� ��.J�m�z!��B��������#�4�bPT���U��1'��Ca�4��D��x'W�/5��LS������g��JP D'���]����M=x�
�v��j����RQQN
g�]L
������<�=b��Z�ONNS�
��d�F{�b`
��7k���cJ�-j���^��a�.�8"����=�{PA�����4q�=��w�@/"~\��]���<���fiAa�*Q�) �dyn���IVO����V}J?���p�����j�{Qv����R*����$Z���xrA��k�>JTm@
�'�����^���/��Y�^H
PSSp/��c
�7��bV7O�N���+>���
dB$��M�W�q�K)7��r���������m�r���D0����1���sk�rI7���5�&��~�
Ef�s��R2����.���
�<��T�����������-�e
7��xC�%��Q> ����K]<8��;Cw����&�P�
��E��
v�.u��}��v*���B
����POq
��.�d
f�M��y0� ���$
��J��y��x��)�n�.����TKA{yM�9����O��[�|��-dPC4�XR���� ^���g�Z�����6����v��\2�ex�(�Gm���L�y��t��
�E��������(K��w|u���Q[�[���*�S�H�
�q�G�-� ���%��y�dP
��#���I�"�����&� ��'��C��$��@���:b�
R6��e.��3
I�%*<�x��C�n=A����
�|������Kx_���
�@��FE�=s
wt�� ��L6�����FuBw�RVJ�>�� +[��x�`T"4o>���u7�u�,��^w�Z
+�_���Xb����
q��IFw���l�>�U��7�`s�����*u�n4���jM�
_������2�^
w A�zT
�EwU� ��%A����E&p*g
��N(�
m���
��
6��V���2�Z�� �OCm0xR
��+���[��m�������%��xE���K�1��
�ep�5�c�#�@����������X��
F�(�T�� ��!��^�������� �I�b:�����lv��ba�so�bv�����j��d��k(����#D�P���%�.Kq
_m>��@\��-9�b��4O��v����
O
b�w�/.����S 3����^�W����F
�(3����H��A�w*��v�S3��������j�^^���;��*������e��{����h�)�G���(m�UN����fl�
����g0�wf(_��yj�_��*U��[��K��e�U��G�V��g��!Q�S�jd��9�P=��;�sl�="�*��J����z�z���j
^~���~0���������,X
����W
���I�r�Om��R���;�����Q�������.��9Z�%��'�d���~���E���E�G���r*��z�
�]����>t��~HP���)�|� ��d���}�����Bg�&�5
9��E��}e�V��\/%���6MW
?��0���Y�i(���j�����=\�Z]vB�D�KQ�cA�U/�`��_�+�*�F
8}
���cU��U�������I5
H�M�-�Q-���i#;l��Vn�x]�4�j��o��fU�]�^yZ��>�7���*O�����)�_EY��;�o�����"�)��72����c�5��q�9�����=^�GTnd����T���aj�Cn�MB�+[IT����.��8��q|��agD��<��a����z�u<���X�<��)q5LVqgS�D9�������"N��V�gu��HP ����%��u����4���Co���\]��
���������Rl��E:P������.�Ts�K>����q���o����S���-r�\���4;
�}$����
����<�u�D6/��\���J���]�@��1�+b�D����5����2��Y����(�U��"XK� Fg=<c�:�go����wT�����Z�+����4u�����n����0�YQ�������x�k"����0���_�G���>G.d-n���\�����D������L
�'y���Vr�.x_�JwO����8�@�c/Fm�s)\nJR6Q��������d����^R��@��
�#��
�������
�� C����k���f�0�g�/��O9�����n� ���j��+*���i��G��������}�}������2���:N��7���{9U:���Bh��|V�z�����)��@0��Bz
�UT�i��<>��PS���*���G7P����������7h���3
��9RC,e_�����"_j����b
��eI�VX����zO
�=��/�]M����8�J��j�_wD�$�T�;\�/���w�qR���W������ ���]&��"$vj�j��f�z�����F��������6���P)xw���1�����S P�
i��K�����+uSI\\(Y���e���l� v@
����;�
���.�d����S.E���[�`�}�q���� ���S����U�
H���M�:$�o
J�A
��N�Y1��8�K[����M��0I����� "]����J������-z�dP�j�{��d��h���XssZ ���d��SiP�Y�g�?R{�����zl�r�S*h�V�m��v�E�tM����6W��R ��S�Sw)�Tp!`w�X��A-�0���6����%�.�"Hm;���h�q7�j��O��H�
i��:MQ�p��b�-�g 4����( ,Ye�"�8
���
}�2��3t�).+Z~��?N�jjMLA�b���#��A v
�����#����Hh.�b$�]z���f5XpT�����8��C����mMSQ<n{NH��4�RnM���^���v�@p*k���UqN�!9X
��"%�T�QU�[���s�� {���t�)_-���_�iP���bg�0G���IIp/���S��U�)zcT�
�.�Qf�f�1U�B��D
���'"�?iJ�� q��i�N�[%��2^j}.1 @�$��%�F@c_�}I*W~�1�w2Tm��?���&(Z?[^�YY� ��J��nY���}&;!�k~��C��X3��y����,_q��1t�U Z���WK�f��d2q���i�HEe@�6��U���`����������k��]���s�W��X.<z7�+����*pK��Z%�T�|��V%����w�#�J�;4S��n�
���r��U8������&B� j�(�x�r���&�4��]r�y���q��C�7PHU��(����Z����������gm)�A+QG":�����kqk@�x�i�����Lq��(�
�����tH�X�D�5��3Q������C��3��Z��.O�F��n��2������X��Q?�+6j�;&����3�;5���v�q���@Nq
AT����
�
��j��LUc\�i��YK���k[DL������h��PxS�ky�Uqs"0�-<hUo�>��������
�A�D@e�����ud����d"��7�z3���
�'�L��XBp�����
�Q
���j���G����������'���r��(C
C��"���:?t5�.�>JS��Xd�'
?�
�y�RR[��z�*�u�O+�XD+��\��~��-^�O����{�5��v�^���K�Y�R��5���:y�pSi���' z[y��rq����
W�%+p���:�
5Tk�`��WeR�~i�LJ�y���&3W1�j_���!U�[W�VU
���uf%�cC����[H�wQ���1���o�4{������PY�^=E�m6������;��_��wm��]�z����9�j���� /�Q���LL#����H�"9�yn�Y<
���3���$��c��/�I���u:��P�]x5�yM��A+X3q~gt�rI����'a��b�
�k�D�J�K���z���� �KM��$��4����uY���y�l��l������v_�H
����Oh��Kj�9�d
���N�=\�}�!�^�+J���&"�8�jW��3�!�����o
m��V�����2�J�����e)����_I ����R���%:q�+��6u\��`6
#V
�R�V��v �\:+����:�"�H�
GP_�=������vy
�� z�z����Z���\D�H�m'�9�h[�&�\
�����nx������"�-��O@V������~�`4\�>��r�]B�[O�Q�XgK|��k��xy��WODF���J�8�3)�����4�Uq����f�W����$I!;���t�}����J��C�.�y�?e�
v
��W�d��w[q���g�'���6�
v���jUf"�\�����$�J2�}�`��:�T(
�]�����j|B�f��%�>�sk;e)�wy�����8���
���UN�x��Q5u���V���n�W�Z��*���g@q�M�5����az
��x
�x�
.��Q��ikn����
k�A8�+�V
lrS\r��6eIf���S�6\(�J���M��q�{I|�����u����0K�!��'��k����.%@���v-�.�f���M�r����
�0x�gS$
������v�����\��U�������*��S�oF���W�R���.�zh��/G������j���?��-�
����n����>� �r�u�:O-�W�v�z
D� ���$���z,9����t��r�@WJD�V?w
I!�@��R
9F=���������.��KU�,�VC^���R
e�J���D1�h��xy����'��w@U���Q����
������]� �:5o������6��
�}�b�?�T������O@�r%�JO��m���4�nd�\�����YG����
>��}�',�Rx�N� ]�W:@=�("����g�;
t����t�+m����.F���W�B����mY�K���K�7��T���%S
l �"��kt$d
�I`J
���xT�
L ��������
MuY���������x���i�Eb��}J����g �*�fdtzT�����t\��le@���1 fs�����H��}��c�<lU��~l�h\v��A^
��U�$R������C�N�s�B�u�����<S���X����
��-��AG+��M��T`W]�y"�����
H67/b�^�������B�Vg{��{�pN�����I�� �$�����f�G��X� 2T��}��q������D�,��6�\��]?�5!����P���^j&t%���(�&��q��*�p��R����j'n�3�l��;f�G���+���L�T#�K��n���f��-&�@�A> �
�sr�
�'(����%|P�W����?
4�))=%���
���-i��ymb���k�%!����n�{\ �UoV���F��&%v���
�W���R��&�q��
b�J$��O�V��g���W9y%!�~
z�4��\���
�������;
��*/-��j��H��Z�k��:����y�&L����m����+hN
*�u
����?&��|��)U��*S!�x���
'�����
o�#�
w�\�d��Or����M4�������#�P���@�����R������T�
���/W���WWb
'n��q)�A���F���UmP0�$/i�\�M��@T���]�J����m��h�x��8\����V��r� ��������s�}��[w����> ��)F��F����
��<!��u��]�S�
����T������%��PXAk� �U\\C�g9�����sT���O��R����-7-U��x�Y����!�w?#��l8��i�p_�^)E�����t_�R����C�M�G]�2
�������N����'�h�5��Ro+ zVF!R�_:\98S�V
c�y�����y����U��D�,G�P�YW��(�zf��Qs�}
��imjb�����^@<}fnI''v�c
2@!P�Z^���#�o���oJ����-�o�����++�Y���*�D^���u��A�<1E���DW����Wu25�9�����xA�>~�z]���
xZ�I�?\n�O�_��<�!�R�"�c[yk^��t� nM7�[������8r���d��]�l�c�X ��#,���Td�e[!��Z@1XX�B����?��I ���Ob ��c�(n����
���5��JT#�EQ2fK����qp��������]��S��)��K�r���+���
���j�Y����eN�4��>Mf\��I�^^�.�����������'5
3���n�G�m�\���P�V4�y&����z����0Wg-��b���k�b��� �]z�����)�lP'���-[���&Sg.��M�Q�6��N/�j�z�i�������y�@R�3w
J^����uK��em�w�Y�d#�,���
�h�)`!���v}��F�Z�(���I"�n�J�j�������3��uk�bwM�����B��
��y�X
?
?�z��uT v~�����
���C�+����B�Q@^o�l��$�����t<�eRv��g��g�*�OI��>��r@O��oe��
�.;A_R
>����!��9z'�����8<�{c���������.�t�uv5j�i6�,Bv�g�P��hw*E�-�����h��q�� ��q?��s>���
�qGH�
\ n<�����-~�|)H�����#df�:���@:-���^�E��,���h>��G�E�����Jb
�c��P�Y�+�AF�l#�=�,������=���W�(�8b��Zd7�o���r��Al��@Gs��
WY�{�_���u���v�<u8�!���+���y��M`)�-7U
����Y���j�d��9F��@���
��]�*���qJX�Q}&�J�RT�a�hCr
����y�$X���
U-Rz��'�x����
���H�jJ����L~��b�8��%�QH*���p+�������&���
T����^*�+
=�+���,3&u��Ib���m���4���UI�D��_MLBd
�r�1��D$.�R���
�����7?�������UO9���C_��1���
��O)7AE:�w����B%�����V�o�4��E��c�(d�$�W+�n T��]*�U���F��":�o�a��� ����
A�9T
R�����S]�ssW� ^a?s7�������h����5�
q�n
Ql$Y:a����Z �zW�@��,?]�#t�[,�s������E=. ��h8dOQc�Y]7�G"��'�%�CW�4�8
,a��
��l#���K>�"��h����t6�������E
?kS�o��&����9D?�MV6��`�$������o��=��R{��M$��$��5��e������N#�`1�-����������EI� �k��84�����,���/5�b��gd}�M�����[me�[xV�u���4��
����/�(��zV,
<�Y��&���I��M�r���#(G�F�q��MB8�{Z'^������N�Y��=�B
j#�3����\��4�$��,6y�.�E�n��iMnI��L#�8�
������C�>
5F�h��F�*
N*����r��#��Y�W��\F������ ���>��S�
�%��$)�����
����m]J��
(3��)]�*�h���=�
��:��2�x����E4���*���T)��`��7U���\
�B���5(
�����".\�c�E�R��Y_(���s)�3�k�1.�rW
����"#�}X�.s>�aG56������7���bZ;r�D�
L��"-�`)I:�XT�\(m� �����
�-�"���
7A���6��b�����2C�� pH��f��[�.\>b�<R� 7KM'��{���z�rJ�U'���r�d�s]���/��W) Y
S�4������(�A�����������/�E;9�s���[�>��k�v�2
]��E�3/t�Vu\�K���j
��|���ve��\�Y���8:f�<����
r�bI4�����{���I�h^pYH��v���e��N���|�>�z��Qo-��>b`)�*���%���!��("lM� =��/��o�
}]�9*�������2���v�;&�W���;dv��� D��������[�:�:���6�S5��5�T���'��+��VB1���
��&+��E����\A�������e��Lu�W�ne@���s��Lm�lPG
=�9q`�9
A��:���3��nOS�S�5��J�8�~�r�AJ[�����V
��&�$m�������Mz��
0�Ki��>���JH�C��]3���Y��u�p� ����z��I��G�b�ny�1w~�@�B�/�hq���>��
�����c,
mr���i��� m���
x�[_Z���WOv*Y���o�������SM�
}�Z
A����^������
?�:NWI�[*�@����C�
e��1��~��or��T!D{��:���5�C�����3Q�U�B��;$%��i
F�AS���a�r\�M�b�����w����M�����twQ}$
�x�����u]��b
I(K�����{�KQ
JD�u�M��a�
�+7��
� vur�� a�O��tMirQC��_����_�'����O@I�lm��� ����O���~�
�Ii��Qp���
]��)O��&��|K�6�������^�^�>S2���*�E�(�#B���f�[9������n!���
X���#����>��[���#M(���m��Vh>3D.�U!p�MW��E�7�����N�J@
+�q���cX%D�d<
��c�h���;��`e���*6���k�"
\����$�z����T��C97^�Nq�C
����+�3�0$5����U����B��T�. �1���o����2)g
�!Q0�N�\������9���+H�'�9(�2]@��}�I���� uj,�YW() ��������L3p�NT�W��$��p=���\D��SR���N�u��[*\UNBy�k����I��].����MZi�zt�+��H����i�� �r��|�z�R��JZ�8T@ZwmY�����<Z���<�����M?�
�[���R�2| �9�J�������B���
CV�MU"�3�qi�B�6���b�z��Z������L��x�����e�8����DRm~��x�llG��)�}����9��e~���S����
pT`R
����L$9��������1"(�l��
|�y���Q��(�I�������X�g�:o
�S����U���dZ������c��-�����Y+�����CA�������G������{ ��6]���^�>�����9���b����_��ph���Z���;�m�xiiOYd�{��[�^��\ ���iZ�����������n_d�j���
U��('2��T�7�F�{��p�T42q�K�i2�m����$�%���R�����\��
���v<��@�?�$�H���y(��A[�Wu�b���CN�WX��b+v(
�F��a�[�I�d�5�T��������r��r�l������1
�n9��1-���<���������do:�oT����h�X2T��Z��_��_�'�����j����dp�\"{iU��#jA �T�h���}�=�L�o���E
�&?v.;��_U|#�<ow��0��d#�d��[����BMn��gc����*�
/��(�s�?�e ���F��2�:���)U$��R�����������c�� ��wl�����=u-�
�R;<���FC���5�i
^��.���4"�
?�x
�:�P\
�A
~�>�_����2u��N�>���v@�{��,�>��@POj�wE���F���,�L�A�/����|d���������a%]�pm=�I�|��=���\������<
}��G� w�z q�vX
e
!���������1!$A���_����3����G7jp�Qe� P�Z�O#����vaDe�*��hb�%����Q�����L9�|�,I���c�/�X]}��g,
M1)j�#{+?��H�w�
����s
I:B�}�]�S�$C���(���!d=
�E���������I��,���H$��ph_{��(I�us�\��
����Hc�y��98O�� �C~%�=���W��Ww�W�O�I
�����AP��H�N���*5�
'��I��w��|`�$�rZSX��~K�:��5wN��VSUl�19r}�u�����s�ku!��E?y��[��� u��\!E|yT��:�qh��k���p��9 S+ I�����we�y�����5��)����W��.��h�t��-�.�=Ry�.�����|����R:�K��2f�??X�������i�.�gUK���"��\�9�Y�f�\���K��b����[?D�f�tI�t��Q�26�%�Lr����>W99���}9�[�7q���N����Zm���;��_JwG;
��<��HR��!�)�*����<
Q_��Pjh��V��N�H9?.��$N
Q�S��^�����xZ#s�["4 �D��~Tt���
>zJ#w�,���P���?��x��:��S�����TEy���r�
���r-%�8�U'�.X,����rj��G��U�0�=��F\��&muN��E��%�k��h��#��R�1i���
��& ��:G�����](��(�w��
S1�?�6��1��^�
x0G��k�^r�����
9�j��dJtis��H�{�Gn:Pm��(�.b���o���������hA1���UTJ�������U��{{���s�<>{y������%�����e�p�6����6>y�y�oT�]G�d�7�6y
.
�
d��������j�����P�PIv�����GU�����|���� �8H�L����h
�l��I)���^�N����fm<V{^�Q������A���
�����>�$D��D��<�P���5�J����b���A����������J����]��~��_
Wk�����~��y�&��#����
>���/)�
~5��'��;���-[����{��eJ��S%��FF=z��_*���d���w��T/���r�NK��Q"=����?���>=*n���x�n���v�S5 ������"q]�J7�������U��fi1�
��rY�S?,��Y��B
����="g�C�zo��5���d��?��NC1�K�lp#�j�.f���g��!��J/�R����DY��D�D�Y�dQ6�8
AL��]*2�T
���
T�v��Tr+��PL�F ~$KW�+��85S�F��vI����b�����^��4P���Q��B�A�<&�]i��^�k��H���C�C��]����Sv�#a����fXB�RW��NL^3�PS��vC�����NsE��1����n������X4��'����������$��������J���l�����/��S���@�n���U�vB�^\J���?���������<�S�A��%�xl���
AUXv��lU����Eq����A0S9��Q� ��P�q
�[��a%)a�w�r����J�E���! )�pU�[<� ;h�����bo���oh<)����0���
h�j����
��fW���aE%�e��lN��E�'�BW��-������I�s�_��:
�����$��4�L������-}��o3q��[�
�
[y�'CW
�P��zZ
�|O��PnW��T��r��8�L\�PW�]�~�'�S6���Ky:u�m������}��D���8O�0��q:�"R�P���u
��q�����S���)�d��%���� �9�-�Tj����]��
�a�G�m�y���v��^��1���*!����Y�m�Ry �)z8�$�sOn�1���Q�*Z�
%�2h�~��
����~������W�{�
%vs�H��K��.K���C%���E���F����h�%�tb�����]�����$��
/x�[���[!\PmK�\n��h�x�ZM�K�����-���YR��_��b�����
��V�Pj� ��
^�;|gg���Z���a�
�8a!�����k����R��g��������|@�*�]^k
v���I����8�2pS��i�_�z��������\��N���f$�pm�~Asvb��K(�X( M4�����
�
0Uf��W��d_�H�Q1Fu-7%��
O��S�JKqyLo_����s�r�T�����p���!���'�Z>���hSU�����fr�o]�c��0��e�����
�!+ld>���T�Y��<%|J�t��p��WT2����D��ck���$��)�}����IU���mW�o���z�~��a���|f��8Nr���
�
*����/_E.�Q����������������Gh
�[�@��Wy������=�C�T�Q %Ki�5��?��E����~TU9�\|�zL
+���N�d�������8��W�\�vOZ"#E�
die�(��O �[��r�����n���,�����C����%�����rWJ����Z�@�ahA������l�\�(��n�����v8QJ�B�H�I5O��+��<
%��+������_��O�)�� �]�?��2�y�H�,iqs1�G�������OC?�W�x���=���j��D/$������q[��x+��"o��vs/�mR��.����b
<��V�kY
o�!$)�*{W�B���<n �p��"#����\&�z���?()y|�G���L*��[�3�P�;*fHZ��cb:���$���J���e�lD��J���yQ�
�wen����d�buQgnR2`��3I�P���t��n!���#/����T*d���a�GF�UA:IH%���DRg����J�����wqRD�Je�����<n2VR���-`�*��o�R�����FY�M �,*T
�l�<I�LM �
�tk����n�+�
�G��r��6y,���3{4�j-��&n���P��=�;|�~<e��H�
7��#6�U>�JO���K��
��Em�Tf$�~����<����{��u��:���|$�������?�*cZ���m@���5]����(���/������.�
�dS�H��N%�������4
v�"5��g�]���e.%Y&p����VW����Z2-���[���J-J9�sT�)�w�������-��u��e\��i
I��i@�j/p���j>���W������Y9�
U��
�N8����R�@Z_# 5���V6��p��r0<f
�a�g���'
+z9�Z�)s��[�
���o=R�L
�����}�\u- ���Z-I�
`�:k8T�
Hw]
@!Y����^�:$|h�JT�L��N�O]�
��� L��B �����;�B���p���O���Q9+���b���G=�
kKQ���������
c$t���O�p����'�z�
��EV����5�
��_�{���}�6����]��E
�cQ�Rw��RS�:��
�V������x����RR���k�l�OU�S���S)���}Jq��(/��z��k�l�V��4�1,������-�]�Fuu
2��nFMW���c�&CK1���P�l�8��AA�5�=����,JU�#�^�0Z��MfDj�b��z��t�+V����I���@�+�YE�8Q��vJB�+���H���m��>�*�u��d��^��zd���T���3�h���SO�R��
��kr{.�?T�H����J�
1��&
I��Ky�?o'����>�5��'���w����>�������I����F
��r[Q~=�Q�!��G���-*|{
P��9W�Z�v
���Ch�������o��
��&�R�5�,���l�
F|#
�{(!E�]%k���#cQQ��=��dE���6�r�-�
$]i+2�F��*��l
_�~����
z
7�jB��5
�t��\S����� �L�������8R+R,��Pe9��3������`�PDQw���(�N)�|�v7` ��{Pd9
W�}6������)�MiD���IT^����Ud�R�,�����'U
Aw�G'w�P��h+�t������*|s��Ng+
M\U�
�2>�\F���#�e�nA*��q����Ph�R����V��)�����;�Y ��W�t�}�����"q�/LA*������Y����$���b������do��NRL��:W�\N8��l�sh =���� ��xA)N�����)<�c��]�[e"�*NWR�P�'�p���R������<�:QO�����������r�<~r_��Z}D>x�Dn����������z"�R�]�>2�������=�y^��� ��Z e�y��(��
*,� ��q��YX
l�S����
^�f}��5�,+*�M%��\�V�HK���"�����2� ��0�*�T������
$����|���F��V����p����U�op���e�$�i �'r���JC��D.#/S�B��,T���rt��&I��)�*)U����7
����]��z?��?�(��<����#�_Z�h��1��Je�#&K���^�����P����} �
�T?������
p
|��:\�RcH^��B��A�%�
��R
�Ft��Kdx
T������o����������S���.���f���3�A�"]Y(�N����i*�HX��;4ny��W���o=�
3�������;���
�m�K4������:���>�{�-��������'��G"����[�
��e�[�-����Kp�Z�*���
n�O�����xHvQ��|��=�7d�z���Z�7� ��ZOv2�����#Y� �Va�z�Q��9�n+�^�F������g+g
n36T�����x^m���D��
{mO�:uV�Z�z������u�))mc����"JeC���J���hVl�F��)C�t�� J�<�����F�-�F�6�DJb�����RrH��K���P:�m���@pRK���,�V�N�.�oR<����6�����
P�Z�[���%/��}w���r���:�R`�EI�Z�����
���]q r�c�r���N�\�*8���`�
��i��h"��Us]��%�M8�rR�+�z����Dp��D�B���=�p��2F�������nA'�l��?9).n�9��JdQ����e�B��8�A��3�����Q���1�J�\K���w3L�7}�5$����]�)�������u�&�������L�T���1*.-�6�b���@��!�9��r|
�5n�X�����$
�{J������v�%���
dU�HI���������(��S?�8�p�_�KD��s�G[�r���8�|"�`'7����
�f�������#M������G'k�����=��o ���C�P���u�x���
�M�W�*���a(����b�M�(�����F����j#.r!]~=�����bu!(�2�{.���.8���8_�s����S1o��H��%�Q�7�b�����<M�f+�����f9���819��f -�9�@D����:�;uW>6��H�
R/w.}Cx�ZT�&�W�����
�+��Q %/��f�Xx8�
5��5���-r�^�VG!�%n�
�/Y(G�
�q
+��%I��G����D�@ �u
��
a�e��|��]�X���%���:�C6>9k��n��w<Bo�zp�}n���J�B����% ("�a�����^�j����yR��8@��v� r ��,F�'*h�^b�"O���� j)k������}`�Pq0@5 ��
I�. ]uU��yN�A.(�4iO��X�������Bs���uy�����������l����W�y�O�~������5S��
�l^Q� hEN
Z�9
�.'K�[�G������
�2
��M��5�**�i����{�c<+uP���r�
� �|���/������FU��������l�������'~R
g�\��"�M~Y
\��c�%����I��X]���"�p�U0t;��P�\�7X��)���(d��m��I�P��~���TAK6E2����2,���S��%\�v_�B����D+Q!�~"?�5~"?�m�D����p�~�=��6?� �
���tF�
y���J����s���F���@�B���D��������S��-�)����l*�-j����>w6�
�:���
��_���~P�Y{<�.�M�+����!K���_ �ZK���/O���%�l�Op
z�u�����
��C���e�N^����x)F4�����V�a�����2q����<�J�����u6�K'����P$E��n�u��EB��g*�vN�e�_G��\JR�Q{�K
��w�C����j�dE�I��R��d�����Sc#�?N��{
�_�2��U����65Q��|���R1�/�Vd���s�����R�cKA*-*P@�k�$���t{�RY
')�W��g(���ZS_Z�� �]�������io��K�����n�����
Oi��
P���Ce�W�a�R������1K��h���BL�&�[��H9�j��=`�p��v����w�7�k3���,��d���#;���
�
�+�2�����"/OO���o�����o����?��$��R%��i65�=�$qB���Eb��_[����_�5�
*��qk@�K����t��m �X.u���A1�]uZ�F�P$��\�j�� ��/� y����*���'� ���,c�Nl�?:����4��Xn'�{�g��
4K�T���6��"�mU�F�zY�qT �jT�]���r��sUq '�=���������QJ�����s��Z�����4*;���R��mO��s���/ Brq�p��OIOVK� ��}4x�}|�[�R�kN��Q�hS�g�R
��N��lG�� ��JO4oK����h�hcDZN������TW��M�s
���B%��0}'�-������f]�q�
$3��b����~���������u��e������P�!e=������4���Rr?w-��O0R���l�
���dQ���&�J/r��[�x�[��jS���/��=G2\\><
�#U����:X��<�SS�X^-�E��D!4�S��4H��ngG��x�t;XQ�� *!q��
��v���m��_����-��>;���Ht�RCAJ����M�q�#f���*�
��k���%�
U�)u�����V��Uc_^u�s�n�B�E��Jw"U�m��[+
�:��
�U�!���e-jv��3���Nj9�'
iY������]�}�����A���U�Q�X��p)���������n�Fjg,x��q� ���nWv]���W��w�H��
�e����)�����OqV�4=����m.�@�����=�
�>V@ W��D&S6`�]%s�2��VpP@���U7�?{����TD�q2���R6�
��rt������"1hy����,�n
�����y
#�
�]�x&�
��$����`Y�������T9���!���@�G�kF������+A���\$W�\�� �N����A#��|�(��������ROK��GA��&������Y�IZ687�d���u��E�YG��nG�`R���J]����9Z�H~x< ��vS��f{��_�����m/7%���^��+��� W��x�i�/G�o�����������
������������B�8�y!<�|P
{���M7���#��]^#��b����.59�Ob7K�������68N}0����kR
������ %����ik G.y�P�X�W�
_���C���S��r��f�H�����?���O����
*�v����WK����J|��7UE\�6�R��7������rbry���*��j{�qrH`U��R�P��g��z����4?[��Hi��UXK�Qd� u��2��Wl��es���j��3��]�{������>���I�[��������[��V��� ;��z�m|=����Q�+�7�*��5)�`�N!
H+|`�{����[�"����z$19w$s^r^�U�Q7
\S��"�tG���
�)u��i�!@n�]j�g'�B���a�����
�$C"Wj/
��&q9�;�)x\Y��}
:�O�C�/y�tE���D �"����x>����TV�A� 6 ��*`����q�HSe�����:|���5\<�P5R����WVJ�P�@
��
���IZ���������HikD��n��2�i�C�Oe�
N*��NsW�������!�6%������L
��
�����7�4f���&�������]_r\��p�R���z%A��&���D1
Fjc7��L�L
�
�/�c<���������`�x���:���"���NV�W^�8>~!*���Rahk%fk�@E��"�(���U�G?�B!�X�mU�g��:��cCt9�����:�auyq��D}lS����^�� �J��Vt���b
�ox@��]���j���8����~s�K����
��j/m�v��0�k�R�U��f4M�����9�QM���� ���*��5Qw
��_�����������������cz��|W{ur�zj�6�s������g���D��Yp�^��
d
��=J���L�x��I�s��UrL�s��������}K��R��?�Q��m-�%�>�U��L�J��V
vK���|�.+Y�NA���gs���Y�8�"�y�.P��Mf�������+8���N"����P�� @s�~x��i4l
�U�"N��e|�W
�p�*���m9s��D�:'=������!��w/O�*'��Jq�uQK^��tp��q�5b�e�eB��(�"�:���������.3�L��
�E=+�����u"����o��Vh���^���Q� ����d
X�rR�(Z6L��;��}����>J+
-�K��[S[-��td�=
���
h��]�`�[Juq��q����qT�X��
���MU
����������H���/�r�<�h����Y�-d�n/�T
NgR_�Ne�&�c^K#�
�'���"���]����$beQ�*��P}plS���O����p�[Jx�`_� �8�xd���X�y��+KD8�?=G
��D6q��=�o7��+0��yDr��qh.��������%]��=����JPZ� ��g+�(�P
�
f
���W���'��
��)����+�q��y;^�M���{
#R
�%.�F*Z�������3.��|H*�
�T$��=+bv)����-99��+�)��$�l���<���~��LZUv�5h�K!�K U����!-��S�v-+�^�/a���5����8
����:��X��� ��;����E���� ��U�����^��X9v�;X��h���q�:� H��I�KT�P������cN��� ���U=�H��mI��^�9wu�8E\W?}���d)��4O����6��J/l�Av���n%��3�v��;���u���Ce7�7�aR�p�ex�H)���o��
ud "����m �P��?�/=Di��v�W��vX��tm�j�eS��/����q�j�{�+S�O��K
�w�n��
B=|s�y�����+���#���U��xx�y��J}BT�0��7�b�]^�d�3f`�bi
�\I����`�T
8S��8{w5��H��(�V�gY
�T�Q�����ra�
^*tv�t�B��5����>�J��C�^_=Z�4�����}*!^��:u�Z�e'X���� ��r3�S�)R
���/?6��h;P�$�������f��V�N�$�p�0I
��(r�Qaa��
���o[R�h�i���;�c����,^���d���5��6�WTWxji�Zy{������ [MZ�
}���CU���2�<�.�p�,���`*����T�?���P3��D�������N]�)��7����t�N��� ��
N �E
���8TX��:\���Y�������|D�t����c����[������p�+_GSGRC����MR�G@�"msNlY�OH���E�H�
�h���������d?��-�J^M)�o����Dd������
���N�c��f�D�]�$u*7Q7�]�nw=/h�����M�
�j���X��\�\zg��^f�{ �>�<m� ����d��\B�`����i����>���<���"���y7B�&�� �?���YIu�X�?5�SN�Tc�S4cv����8������Mr�(z�*Bb��J���P���������_w�.kA
KW'�p����������9z&�������W�7�&�j�n>Yv ^�/��$
Q5 {��lF��������(�! �X
��T��[7[�8G��o��/m
0
aO�3�!�R���B���WT�S�j���#
�h��������oy�Sb�>F�
�P`��/��!��r�������JV���R�
��6��v�{nWc���C��|�.
2P�W'��n����D~]�����;fU=]3a��5��P
�� ��?�{w7g��S�s��Dl1AH<�f�p\5]�!��
��
$��� IB��x&���xW.����"��R�J
8h��� R��b@��%^r�v�S�_�!jG7���TZnT
�YI-�����]��*�7g>���P��Z�r[�Y\�z��b���Z�_�l���+�b����v+Ko���J������s�T���q�f
$yk�*7���JW9�N%ek.7�8�i�(#o������ ,r�K�
�&��V���dZR-_�7��
������Q���� �W�T3��
I@zv�o%��)��0�9�E;�������]��w�o6\�2�?;��t�
���TOM��Q6j��ll�������(8N=2��]6& E�=��J +�e&p\�>��$I�/A�v���8������ =�G�Z��[��w�5q�K
6��R<�"
) ���m�o����V�\<I��� �]��o��{�$"��Ix�lH��u��K�o�^��%�
�\�[�
5h�b����������+!�i������������%��
M�p2�R�Q�c
<^u�)��@;
�sD+�U"����u�>]�K �;P_��#����������Qd�u)��!��8o��&{�2+x/K�]a�{*zzs�^YK�h��;L����
�����bm��#�N��~r�"Kb����E�m�E��B
Z�>{�(�'��������.�oK���� ��k#�@v�D�DG����2�W����g���"�!���=���y��HHEV��V`�
���W���<�����%�`��x^S�DKx��*�~
p���U����am6HMJ����c
�t�����R<�6����*l/;@I�
5���u�(��%
���v;Mi�r��Jc>���UXV]�q���$���aE�U�����"��A��U�����+�':"G�;�������
�/�
W���U��J�M����1�5+P7aC_o�
��L���!.+!X9��8e��������&�����o�n-��ry��[�
#����zi����i������/�" KU�V7�M
�Y�J5�t����1���:v}�v9;9}�8%;Q�<+
��=`~$E% ��b���$WN�4�9�4��QL[��[ztU��H���$�$���
E0G�!�!O�����M�!�iU����&SP����K����ns����T;���O����L�I�mOE����
�yn��F9nHV�
<�H�
�Q��J&�:|^���������5�}������$n��'���r��R��������g��x�����Ik�x���V(es�)
�Q{U����>N�����~�) ��V��(I�V#�������f�����j?Z:����TQ����f���
�/S���9W���J�O��7�2CQ}q5�c[���H���Jx�k��Y���*4%��=_�p|
��Y'�Z��n�e�����$����>��Z�_���IVa����^U��!e`�<��h�5�����O*r��
4�����TH\e
�~.]��\-[@�Zy(�{W+rW���a�x �i���\Aw�@i ����
����_�G����pQ
�yp�9��J���EF*�vu��Z
�c�t��k�r��% FU�������Q
�u)}�<*��c
��7��fLU������y���V{����
�:U�sx�
=f���PX�A1l�w���s��bp<2���4�_�����y��V����f�s4��P����H�r��0������E��\]����IA���%O�
w�(����x��0����{Il����&�"����+���nynWWd;h�F��%)<
<;����e[��x��S(�����z��J� r���T��X?�����z
���QK�����S�A��W8�
%�
�:��]R)
')Y/���6�|�1�=��
�>��4�
4���
�P����K��?[��cE�,;
'��I��m�I2I�(��-���5��`�����b�C� �!q5��^ �\=�j�\Pz�6�P�Q��=��S�H�����J~r'- %�I?��,1�}b2Jw
��.0
=+����G�J�j^~�������F��A��
���'s)�����H�r���
��ENX T�K��T��rN�(��:�09�H��~D��,�n�C�?
��k��gsqB����K
��lS��T����m@6a�Q
Xy�I
Q�y���C
���6S�IW��9��Z9F��W�K-X��G����g��{��4��Nni(����K�O-]�L%A%s��G����x$����En)��s94����(��fp({��Su������v�
(�9F�
a��^4qweu=��
��� ����4����)�������OU��k�
jY�4���n�
P�d�|�q
�h=�b�:�!�h�z������mf�~-�[�_�����O������D:�p,���S>��J�h ������DC.e�c�+ 3��������,�����`�
B�1�"
)o=Y5QF����K���G��>+CV��c����� �Prqo�Ig��]j����n%��l^�3�}��:�P���{��dRdg Q>b[�b]_�&�e�|6��j
�u�/�U7�7(�
���nr���F����J���:~�<:d�}T+z{��CC����A�m�4�|U]�fE��Z��E�V������r���I�0�
���N@�^�r4L���7S]��*���Hkv�^E��<A��Dzz�Q<\0�V*�6� U��(����Bl��VQE�(yJ���vZ+7I+���:�6>��:]C9������vnmR?�W�ii6���������\�wH�"N4�Cv����S���R�@�A�B��V�������LNX��r:�>�����X���f�2Q���2���*�f�\�9if
.{E�?��qS���}��"�A�?���p(���@b�gT�H����J���"�j,
�/���Qd�� $2e����k���#�^���=���H�j�ck�Rm7�uU;d�/�
j$����`70s+JT���I��ir���F�8�|2��� U@ZS�.p"]
��M��"��gG*��t�&��d���)t���aQ���B`��kz|Z,�
����Y�n�Tk��B��=�;��>�E��
��_���Go
���h��������>���_����\���%�@�3|��������o~:��g��O~�����?�����������e�CJ����/�������� �����������t����?����������� ���G�W�����r�
��o���������2��w���/�� _�/���o���� �����_�����?��������G��?�g�8� �������;�?������� ? ������?��;���[?�G���������?������9��������O��,���O�~���~v������������~��O�}���������?���~��?����G?9��������O��:~�� �����}��?�k�����������[>� ��G������������?�}�����_�1������_��O���/�������������?��w����{���U�?���p>� ��?�������G���3��G��p���������� �?�W��{��������k�����q��?��?��7�i?�)z����/>���?�����}�A�_��~�����?���>�7>�����o��=����G<����v���������� ����������?�����?}��#������7�:����?��?k-�����7��/���48]"�B�
�Qp����sQ*��
�����Y!�����_�X�������G�?>T�?���-C�������G���?��w9~����P�9<W���?�����wr�����������`}��_��������� ������0����������$h}�)���O�M��u'5�2X����X��4����?��G/'� *�:
ur����C05���V������D�b�%��W4j�3�Z�tq���X���}V��
(��u$
�c�;����-���D��F�y�bs�N�;I��
\\���3?5U
���;k�E���Ol�;�4Hr,
���Bo8
�Q�K��(
������Y��5�*[���g]����!�+�ynM�_���B����gE�V
�������D�*�";�T�p�����/���;��;
)g�f-~�*������lQ��QTs�.�=g�]�K��Q�P@�l5���b����8�cE���x�H�G�������
������>��N��jo�!��<,���u$�O�]���m���F�b������I^���PvN_�QR����):�wJ������������7�d�8��+��?��LSM�%����V����c_Vv`�(}�]�g(��&�;��P#�����������-����(��B�.Q��:r�A�cuX���<,)+��bF8�������VQOI�c�����,�^A�gI��=+%{
��>��l=3��,��d'��;,A/�������������������2
��>����U�=�������6�d���GeC�5_]��j�CT�'���<��cu���l�6�"���K���zy��b��h�
7��; �Z��
�MJ��I�p��,���/��Q����������}�3n]���8#I�f�^��
s
8#[��� L��
$G�r�n!��k��'�q����Y�l�[�YZ�ryn#��(��uQ��{
�g�Fz3�y��H��r�
9�G��j�Z��^�������.�W�JY���-�����*�nOo�9����v�
%z�L?U[����b���P��AaFpW�qRn���K��K�z��>d
�$T��7��T{�>��[!�
��<R E��7'W��i�>�, ���lI.����O���c����C�"����~�(���B���t>�
��]���f%g���e���&��7�Q|����.$��n
rF�r����=lJ�8��~O�@�S�����
|�L=Y�mwAI'�$�����|��\�S�����;���i��r����"PT����Nl�6w���{�
;5���I��E������Kz4�����|�������0�
vv$3^�.))�o1I;����QF
�#�-�x�6
�~�_��q�
�~����,��������������W�$���I��20�������lw�sw�Sz��G��sM��s74�M_w��#f�:���
�]
@�V:�M;�A}Q�x�7�$�I�
�b]AO=�*!')E����sj,
�4�
��p5�F\���7�������k+�����6k�!o��K�����
Q����]�&��_~����
���MN $W���Z���->C���������3� �C�
�']���&
;!r}�
����=��RQ"2��
'���(3���p��
�8u��bO�[�^M*T��������+`zH�����������[VJ����A_1�Zz8�f��X�?�d�b]����`VW����E�t�����W��A�jdw�N��%�����^tR��
j���M�Aj5�\X�x�O�K��l1�+������>V{�f�-�/o��PU��nq�J�� ?KPjy�A�
\�����B.<�R&�#�);8����s����@��:���V&
(R��r�.����������.1��
��7q�]u=������e7�im��T�qq����7�N~�����d����^�K���L����:����j������S<�\P|�
,�r�#j#L���"�j�|�x��q��Aq3��4L$��U�����=����ypa(�0������&�{�M�3��/����-��pO����������%/Jku�<A�mF��[���������&zC�UAsq<@W��*��iy\rT��KCM{����/�n����%ORm�T����bdx�:zv6�Y]��\�N��M}��!?X
�0�q�;yO���������C��H�R
wu:�UA�E^m;�UO}�)�"�W}��Vq�G��0�
��Jc��D���|�mk+TN��`i��v��t���~����y�iD
��%�� }�-���t��[���E�����z��@!yX%~�������W��8�O����|,JXK��-��������Z�^T�
��JW�vZO`�a�!���u����m�8/V|��;j�
���������K�.���������Rs?��qlNrRv�"m�����M������g,*@�
�w~{Ny+3���4A\hK5&�
n�;JF�{
����Y�F<���� ��D�����J�!"q����F��&\����N��0&j��G�""�~Ba��m�^�?�S�u�n��
8���/���������O���}�1�A��kLw!�\z:k���?,��a!�*�#
��
s�-o��B����B�5�~c��h][�/�3��ep��w?���u���e�<��
wFv��J����_`�5l�
�d�7��l*!�j|�iw����i�j�<*�uL��KV�t
��
p�^\��_��;�2 ��@%�8���(C�e�zQ��2{��k���(6�����S�
i�����w�������vU�jN�7���<�����ZN�\[���O�Q��>������aq���"��#����J�"
��rC�
�\�
.U�o���}K6#"����l�)�����2��B��kc�wMyu������0:��
�����JM��%5aF!����\
��S�~)Vv����
7^�9�ONR
Qk,������3�' �J�gw��P����K
����V��9��a�)� �XQ���)�
nyg���eg�;��.����_9�Hh����
�cP0�xX������$�'>�����������~����;5y��lmv�1R����:��p�G��[�_ul���7y�dsf��^���C�n�������J�R���Ve�B�EG�y�y�����=U�:��q
S!>�vZ�e�q��e�����d��,��N����:m7���z�
�o>����R����Q���C�5i*|���%W�H�n��9m��
q��2����NJ>t�����v�{�-��$!��v}BW�5����*����5<S��LPJ���%\rAv+��ki�����2���yt�R�L�T���jjXIR:v��EL���}<��eI������<-ww�C_Xu�>|dH��@6GX
�J�t�<9v���G]�z�?V��pI��p��6o�+��T���N�n����������
O��������������_,k��4�v>�+h
A�?dS(y`���:IJ��Jt��i���
�c�MM1�nys
%(E�=c �SRc O�9��r�-5-^����q����u� ����^���F���O�-��
G
����Z^���nYhtu��<����2?���2Ex�Z��
<v���#@rX:�)���R�C���9��H�$t��*���!����HV�%wE�6)_�2Q�UL���f
�'Y�PZ��
pU�E�����oJ+����t{8�mT���K�>��S�GM����r^�+)v~9-�8��[�
��x]�z���d����RF�������d
�N���RgT�lAi+�����o�������Gy���vPp),�����$�p�>O
����[ZM��(����"+
J ���|x��������w���"82�$�d�bl�BHhR<����8��S����J�G��@�
��E��I k���)eYJ�ra�$����q���>����|XZK]�HGK p���3
�N�>\%�
c
�,�R���%������U!������$�ew���;��:�l�n%h_���>R��r�G�]c
^�u������~�mP��y�/�*�k�oz����`p���plN������r�Z ��UrN�QD
��ax,�l^�"4^3��jW*x5����:�� ��V���y���@~������t>
y��$����,q;��v\�yY�SM�����Ni����!C��k�������� G�+ �d
L.��a��Ppk�����[2!w��~r�)48�E"�rg���cB6a� �9�a|�����
;�vY;j�Kl��
�)]�5Rm�lt�{��5��K/��a�$?�.���1|;e�d�e���b�j�%�
����<`v��%@R��s�B���x��t���������t�>^�����������0XWq��
����t}c����� �S�I�S��{��[p�qFg>��jG������*.���:��:? BN�k���G8��[�����[U������1ZP�)�as��6�3pj��u�
5QY
�"��<R���c�J��>e�n��__*"��+� (�
{��f]{t��
���~�R�����(��Ya��U<� Z���b���<��B7�u�UR��������d�H�;��u�h n��G�]�)���.1S�)��������G�XM��$Q����$�������RV��Q��[��v���{��]�����~�U:������
�>��EO�4N��1>����� �W�l�fr_|Q�? fj'y�]�X
e.�/8��������Z@{$��y%d�����4��
}2��'8�!�)@?��OQA�i�T.Di�q��^���r@��U��,�����ug��Z9�m��Ru�$��9��\� �9���I�I��������%d�8�O����J��
)1���6]���h%�G�m��;Gg �uLGR�"���]Qq����~ ���
��~��|�#�����jQ��(��@}��=\�.��+�p��/��}96D�
�T���l����F����� mf�~>��v�
���U,V)��z�����R�Y�H~���dB��A����u�K?�J�8�"#��TYz
#u��`|F����Tl�j�����G��
����
��"x�Q��[U/j��t�a��J�����'5 o[w���Wl �g%jI��:�`
�*�M��8x7�O�N���"|n��� �[��'
��]�7������W�|����z�,�G]��l�E ��-�[��
�@�
UgT*�eg\_�Xe���%�sd�F���/�����3[����D�T��V������]
��\�z����d�L���#��|X�kO��,C�����cg�z�-r�Q��D*
���tS��� �E�E
���r��:6����b0o
H�#��{�g)5'����;tj8Mm���(�H�_�^��mg?����*��E�I!��l\.��67h�[v����X��q�#�����-k5�����S!����o��k��������!�jJ�[������
�Ya;��x��C�|i�9�������q���F�-9>��������u��Ib�E��.���^����;N3��I"�n�������hl���"Y��nQ@��uux���5�
zC?
���
�t��]��U������{��[�+�d�0�\�#9�����w6�!j$�����j����C�����Tk����S��
8���I��a�� S��2��00xd���m ,��0�t�i�'���:��@l���m����a�{IM��������#�B)p�
��
��u�U��*�)���
P�x�oN�Au�p����������bhR�l��fdBPY_�f���f����� �����B��nhS
$�-]��7��z��%�g�;�������N/g�5�&�a�UE���\��W}�6
�h /�+�
<�j�s����)#S�| _Q"R
rj6�*A������P���-I�z����UU��������~.�t��^��*gmT��| Mg����8z�'�s�w�9�'�4�������������b3y/�����x�C�fBm!h�5\����ZQ�vg���H��Z���U
��AE�=T�������=�q��n����1�L��{�L�<Q����Z��7���H����g�q�g�l����=�on��n��82F�����?�M6�C�W� �T/�'�`���N�_=W]]2����
����];�����
�:����� G�k`�\�4.�����Z����&��O�mT9V�y���_��;@�d�#H��5]m�|�����
��}���{�Ey+.�k��
7���5P �)�Y�4��=������M��b�o��~�
9=��
B].�� ��h��D��?����|�e�eHu���9W�N��+������:�
��\=<������
�I��V�� ��ed;� @:�E/�L���R����-+��7���`$�X����<xt������[��B8��
��e������(�t����9
����7a#������<4
9:=��oYjG��m�J���(N�c��W �P�1��K��<:j[rFl�F�^U���+cM�[�[�'�������MF���0^�l���
����h�{[u��Yx�
S4��m�c��lU�MJqU)��(����������4���
�� {�e�U��da
�M
��*Z���O�����PK�%������G0�]j�8����_���(��4����|8+9���4�S%�C"u
���D"���MXM��Q'y��h=�Bp�������`����
:�A�d@G�L�8�~����1����{*�pD�c���2H}:���������� oGr�(������������lj�K�t�t�3 w�����s�q=� 6iI��[>����OEG�C-��`� _
�����������w� 3��9' �TS�x*z�H���&��l�\
.w
T����5]U9�
JVI�jSs�����Uu��{�NT���KvL���l�g�
����N[��qs�
FK
���G����T[S��K��VA&�`���!�6�g���bu�tl�@H�6(Kx8��*_(h�
������.E����_t
#�P2<(��?@y����2��n��Z��y�;���K�]��[@���r�WS��Q_t��X�
�W��
.Cx�/�����/���A��Q����|}�J����J�IDs�';����-(�����H�Rr�b��p28����)J�=2�����
��o��v�+ �����` �� P;>���)=R��[�|k��l�!�-��r� � ��r�\=
�� yHRH0|b��
1�N�"���������D+�X6��$7��CW k���e���"�!�H�S���EA�\�����S.Hv�������X��Wl���q��C�������
y���$�p�����O�
��9u�&+��1�
���v������~��u����j�-�������uI�Z2�)������v������iA����`�S���F�A���d>
�r���&�:%�����x��}�O��NF/Y��i�#�`N�V��q\��@
��Uv3C,�u.&�s9��M������%�m�r� ���Q�L�L�re��.������S�^e�U�k��[Uy��TR1R0R�9H3��^n1��o��
-=:mQZQ�;�����
�j���_�E����D����%���s
�YB���^
~:P�h�������yK3~�M1�Nw����*'�v����vL�t�
���+�/�I.KW�����=����s�
��
����Z�&J,E��'�Q9?����>A���|a�]�E��x���C�$������0Q��
(H��;H�Q{��*�N�C �����/OV�����k
��[�~�� u�V�[��`%c�R�wqj
�W�h��:$��
�����'R�&FEO�x��J�������%��D>N�
�+M��
�M�pO[
^���?$s$�(�&�b^���#m�;A���)��b�������^�SN�����C����EStg
�y� $?,������a����;��!�����^.�O���W9B
U�ZgDL*.��_�������vx�"yIOu����
y�����4��Wy�����K�����i/'��dfx�
RZ����.�r
)������r�
�rUg���$���� u��r�
�*��qD����Li�9ZC���zeh���x3��&�(B�d���U�-���
��_:���6����
&'J�TINJ�8o��ntj��2;Y��&W��mu��{e��M'�_*�p�+�����Eu]/��'7����F�������}���
s�v�#�U3���N?��T�B�`�����Km�d�t6�v���2���3~��b6/�����P)$O=��6~N����[>,_Q����DF�M.]�D��G��F�����G��&5�������~H�]Og)����jg,�����nwi��Rut(������J
�cRm$�����9p�(MyT'�M�F���C)Qk��������V�/i�=@�j��}���^��M���a�i���'���{<��F�KM���/� \;9�{� �����K]����������&�K����p����t�!r��X� 4�b������
��w�?����?���r���7
�W������s�W~�o6������K���� ��
�!��kYT��r��|��U�
7��6H
�, $0{
bJ�\J8;�o���
r�J�c�R�A�]:��S��d�
8��W�r�����/Ok
.�P�}�t�%
K��X����#���$q��z��%B���
������#�s#Ab�ua7���i7]E��~z_�� e���d�B;R���'���&?C�b����o�����1�9�{u&�~������:�DY�)�B��Q�n�L�|���w_���d�Y�(O�F��S+z��B��J�"s����d���9�>��W�z��\��J��tJ��[
�����O
�|)
����d
����TX]�eE��A��KFO����l�P��������[ �/M��{���n8�����<��2����I�N��
,��+��OSU�
���5-���
]I@A��32�o7�XY���v���J:*mD4G�}
�h>��n�;|{:��WR;S�Q8+,��s>�;��K�N4�P;���\ ���@F����Y�#��7����F�d&W8��O�JX�����:���_<,�{�o������
��3�]Ps=�l7���
\�t)�(K�=���E,�������9@�`������i ��o2&���*�i���r��C�?=�^�.5��s���]��My��jU�-����nE����Qv��h�\�)�;^A��_��uh����eN��NM���!�Ns_��&��Ny�����"���
�Cw��@�����y����*��D�����*�b�wWU��%�@�����[����4���9,(9G��bh�������n�;�������J� ��5eS�(�[]O�T�� 2������lD�����yv �Z�nC��E�^E#�����z��L���
RT���9�~�Y����u�r��\����������\���4Q
���d���
����qO��������q7�d�����r���,*e����S�n��~�� }�����c�k7i���I#
��]�WnF��q��������'��;4�>jsE��UGG*�h�UA��}
�D!�����X�3�]?sgE������82j0���CqH�$�jV��Kd9O���</ �_e�=��m)�
��]q}���������Jn1��v3f����Y��#A�M���M>ih����LE�������4�S~r(��nM��PM��<� ��4N9��e�t~Y+IC��D
I���rX�q�|�7y
K��Q��4g[����2�)�_���p�_
� ���
����b���*�a�� �6��N�5�{i�����b��ZF�V�G����b!
�\G/E'��
��x�4f�a+S� ��h����7U��'��%�mW��r���t����
����"#�{���F�?,B����� N�a�2+X�* ��K��c2 04UK��Z��&\����)�� ����]nsp���
�Qb��m#/���}�[����i���4��MEU8�:���e:���m���@�T
\LG��2
���X��
��.�E
�)��g���/i�q�7x
���+�.(����z�c���`��VR��=���A���p�z�K�~�{n���
�Gn���J�����*�^qE�EJ���z=QR����%y�n�{Lj��uj�x���)�L<��[
Z���,��:Y��'C��DZ��r��C��Vhi�2�l����8� 6!��k����]����PuT�Mn�_��l]9G
��Or:7���t���j��(S/����L�ugy�#R�b?Sr�z��8���qu������nK�-�y4j�Bp��N�{vu�I��r#tb����Z��78��������g�_��S�����
��S�p��#�
`�%
��O�w~�&��w$��e�^S���3Z�T>��g�;7@�
�R���&�x<�Jn�+3�J��:WB# 7S�T ���#�As������� &AQ���������D�w%���
�`�nrJ3���m>@E�)�d3.;h�D]iFvue���:���-Rw�/�)�n���U��;�� H�p n��:���I�����#�e�vd�7�Dq��`G_�a�p��i��G���Y��#�O�W��9�h/'Hdz���ZQ�������]T+j=�5��C��D���)Us13I����jh��=�dM��O2w�LJPe�(�X Dp������\eu��r�G�F��;
F�������<�7��_7��dm^��lm�}On��J�f�
i'Z�6�(�+�!�]�}\�����������kZ_����r��_�c���P����O�/+"����^*�����$y�Y�S5�B%���n���EjLe�����g���;j�X�U�Fn�h
F�W�����Q�����m~r��N=��fz���
����\B���� �N�N�g���_��S!������M�����&��C��,I����O�#W����D�6�|���3b}�|�-i�����R9n ����
�]�����x�8�${=U����!M���i�.zI��W�;)R��!�h@Q������b��
�:�3�0�ud�9��QJ&y ���mTXd
7�
�E"�
�������Q���jr�:�d��l=|
���Tx�P�����h�\aU���v�
��=�H
�2FQ���\��I
�
���N��:~���^[Q���J�p9>����U������C']���Y���fx��
��F�N����b�Y���G�8���^:a
!���
�b��$#]o<
��l}-�9�-�or8$F� ���W%�x��4�tt�e%��#{����hy�?%ukvJQnM�\�R��[��p�D��n��(�7�Vv����.��6 ������_�p���k)��K�>~�������am���u<�P�����DR@(���
�����B��.=���O�����?v��,���Kj�r
��u�|�v�@���S;������
�~�$�[�T��$���q��N�WH2,@8���V�p���I�{�Eo�q(���R>�u�Ny��
'
o��*���%��G�[."��DL����?���\�w���y(\��5
�n ������|�A��05/���5�0z!�M'�x�� �
I�J����tOG�����
�D&g�������=+%�T���� U��lQ�p�b�%\�cR��)A��NU:���^:]��
�p�cQ�N�!��n��8c�� ���&
�����} k)w8����y��2��_ �+9�_BK�����L�x+����7���Z|
����<�l�=�p���/�tI�I*WXH�� ������{�I$`f��
vT
@�
0����0�3&���n�p��
�B��
�rP`���q��Y��~d$S�Z
�|���|%)Sm9�].��>��~�
��8�����3�X�[����PX�E��<��r��7� 3e)/K�����P�5����������%,��@-�:8���9��]!R�k
�q�NoE�9�]:C��\g�y
d
�z|3��<90��g�)(�?�'y����Ql�"Gq���NX���i����W����I�
���pA<4�8.���K+�~��c�:# ��s���2/�%u����vm��:�� �����
�d
C���
�
eQ�
Q�.�������m���;E,�T �;r���V�H=`��
P��4
����Ww��m*G��z8y�~A�]
Jm���.�+�;*����$�m��b�9�#��)U�
���
a��)������u����Af>e�*���-�$
`�������q����7>�\G�+�3�)��l>�k]�F-7]N��W�*j�h�����k�1�]����m�KV�v�_�&
.��? ����&��
�I�������+n���e����<��d�����Uq9SG���grO��}0�d<��"�|�����Ua��u�
&84�v�����|3����'$�t�l��$Y����Yo����N��e���t�UX������!�k��^�n��u��4(���$��g���
Xc����r���j��>E�M�A���Q���T0`\�w�i|=�%sfn ���y����IY`��~����@�;����
j�tY�q��3�3��Vk�.��/�'d
M��jO%�|�K
�������q��W����:
Dj
vu--��� ;�bq&���
�z�:��:�*su�8�<�Y���I,j�����
"��C������&s��]���\Q�T��v>al<���0�zu����EQ�G}��j~�
KU�k�*�6]����S-�Y�')����E����~����>��MpD~�vNM{��e~�t�@5���}��Q�������8Bo/bk�<���
U��B#�y?���*i����kNX�57$�]��@�
��* �&�)�
�/�Bw�������8�8�
���
3k�7��
��%1����{�X��� �g��n`tKI��>�?�Cg�!Nj�x��E����P��<�,o*������jJ)������.�K��>�ZgI�'�IS�
���s����� ������M|�$�����@��F�Q��������4T���_����WIa��6U:�<���
�(��SM�_��K��z}�������k�[�G��������)q��|�\�?�8���<|�8��yH���?J�A?S��\�e9!nE�.%i����P���Z��pA9��hN4��<
��Q����~(8�Q�aA�iC�+����ja��g�Q�M��wB��������P*�e��Z��N��Pf��"6��y���W�����.�0G����}���
v�]��|=���� �=\�>���xV�-+ZH�� �
��_�~��P&�����?$��8��b�PE�g��&�+~���hu�:��y^��u�V��
z�e^�<ug����)`d��}5��oo�>rh�=���&�4�0�
���x�3
��(g��~�y����\�b����'�Vh����
�����_��a
���MbIy��H����R�<4���l�N_�{�d62��i���HM}�
@ ��w���~��z��yvVl����GE��
�'i�Fr��� ������������D��;�zKv%G��
H�������--,pT7'����s����c�+ 9
�
��B����n��1j���m;��
�����M��h���bsxIY�M.K�Q�}
'�T�V�R�����w�T������b���Oc2e�8�@���,�Zo�"A�����Z�q���C���<��(��,�D���^���g[P��a�p*�v�h�W�Q1`0��[��S�d���W���'~�D?� �����R�\���c����}��|s���1���s8�_���T����t8l��Q�I�hB����)� M&���G �1��d}rx;��l�
��r��YWX��$��� FTo��''��~i��+���
���� =3�e.T�_���y�\6Q����r9���
u ��v���\U����A�q�����
��\���J�:N�F��Z..���!�����V
�0�tPS�e�f
R�0����>��-Q�|�_��\ouE��Y�����I�S!���6�KB�S�V�,�T
n
+
�2���%�_F�
L}�a�|���(��7�)����������}&�o|y�s��W�|�Jx�/'�
y�Y��%2)
�}?�P�w�x
!�*��%Y�SE�N��>�El���������}�z���o�)�a� ��U���<4���i���d���jIeb�*�[�}�{Nd����#{<�N�������%2�Dfd����0�s�����Y�����l�}��B�:�
�v�.���X��$�-��;L��bDH�[�8w����UI���QF�`�pM
��3G-x����xg���Px�7����������>���pm
�hq[2 a
9� ��������2�#����n�q�`�y-`zf������(��ET��55���O$�8��t:_a&���"?��6\�Y3�K���Od��4�0���d�ti�j&H$��rk����Q��T�x����`FM��Y^(o�jl��1�d���),s�p�x��PU�,���M��[�.�2�d������W��O�[��>�e���>:�������c,9�e*��6
�
���[���<�6�������M�t1��(0Y2p����V��\}
���u��2�
���nz]�t�`�-����t�e ��w�
�JnO96#�v �[��4`���v����#CJc��&%^r������L��}b������>���\���Ln2d0��]�'�A\�w����.���Z�n
�a�
���@�XC+'��f����
]���=?3�:�?�Gln�2��EK��GLb�qp-
�8��-H��=z��4��3R/(i
������^v�Q�G�
�w�
�]���C�bLa����&���
��q�. fbx��
v��
I2��Tc����*ibn����l��V���*u�'�q��
���@��z���V��S�9���J��@&�
I�1�o,z�&��e
��3�,�)cXob��������w��D3az�7���]F�����y� �k����h�r#�@1jq�wP�������{<4y� >6
������ �;�M5���$�YW1U��M�����������'������]
���Z��P��Z�]i
,��2�D�
b��3�
fmq\@:xx\���0$�6�:�<�# jS�7z�h*�qf� ���������A�t`�����j�>Y�����y����n[r�
&������l
����<"e��^�@���`
��y1�����mq��t]z�r����gu�M�3�Kh�N��
QF�t��e>�������h�6OW<��n1�����N06Q����f��`�h^�n�x.��
��o3�����p�L��y
�j[L��c}��#z���I��:���73���D�+1�� ��g�:_��
���E� {����[���4~`+��g�'�*��������
��[��cL�kA���X
�
����!o�}�jj��6�S4�������c���G��G���������j`�Q��R���e
���1�@���3���b����K�/��+����:��lf��v���t���$�
>��`@
h�)n�_`C!���[!< [�jf��D.t�o�5��"��q��c(3^`��
�o�s���
YO��+���x���t�>C��GrY6�����������O�Y2����=0�8���2c[��M < j
$��F����L�'w]
P���t�����c �\������T@��&�����\��!��F����mZ\�x����q��+��������qmt����4{
�v����ut
��v
�
�
L�Vn3�?��&
�|
��C?�6}P���
*x�M���q��a������/{
s�t����\��#z�%K��a�`"�a��=�D���CH���[`s�����y��di3�u7�.o�3�F��K\B�������c%�!o����HBo!�[�>�(��$t.���<��d�0�����
,^5zm^������ux�iU����
�����u�9�k����������n@�m&��9��Y<��vw5��� C��+Z���R&3���Sd��.O���lmz�cJ���<�.���
m&Y����93�@�k�N:,�x���zW"j��� �8�
�i�&��j�d����`�Q
5����B[46|^�f�NFpet��m3�A�X�iZ�����
����n2� ����^S�w1&�9oz2�=f�������I�p�.q�����g�W������`hP�G\��n��v�j
2�>��C��x�O�T5��\`%�]����KN�7`Q}������2�J���;
�Dt/��V�b�!����L��r��iG���m�^rZ�M�a��=��ps�M����`��i�d/�:����De
Y�C��7`F�p�b���
y�
`E�q����3�o�
� ��6z0Fx�O����2p�s��]���7!�
,;
���J��i��u��F6��������m@�&2��4D������k�����0��(4z��:
������x��c�R,>z����!6�2�
�\�2�aD/�@5��d0^4'�s���m����9dlI�v%����$
����G����6/�s���� J ������:B�+�8�����@y2�Q�w����\
�@���^�10=Jf4B�Q
�MK�1=|�OHEn+3�N�o0-�U���A�C,��=���3�$I����S`l��hZ�(f�k@����5�$1�6C
u�u��l��vR
CLd�
t]W���I��w������`
+��2}S���P�� �[tqm�V8=@�x$���
f��<��L�����O��������=���\j�!����gfB��c���p��O�����Vo�c��>�a�f�������<� e��4.���� � v��44y��
�0�/�`t�_s�;�
G���w��1So1�]
�gd�&���
n2�}Sh0�r(A�xW�b(�3US�YL4����O(B���n�n������+�%����>���O_w�6���l��gc
l���������`�P�C#���0
��a�
&u�@7�\�36����4��E�!�
QG��%,�!r]��O�J�
Ef������S-���� �a��]���x.��-^���-@Z����._�$��f�W�a�wiz
f������C� �gIC�@ZL�����C��q�W�
��
�R�1m����`�������;��
�$|a$%X���NeN
k
2��
���FA
�&srh+�&��h3�kYb��m^1�
M����ux� � S�
1\�I���r� �M^�#�����c��u�:318�\��9
�T����!�
}���W����
�k��v���1M(]�)ZT���
6�o��u0�<at�?��wD��?]���w���
�L0�:r����hI��8�L
���u��s�
V�y����P�r�9txn�j�7t�w�!��������`�eF�!y]��5����
��]���0���r|Z=
}b�%4�T`91m{SS�Ag���Q"�<�l,0n���������]�����*o�Ng��f�
�J�����c8]����9����
P���,����2�}�6LD^�L,:�
K������=X����l�����=�ud*,��v�v�c�1���d(�z��c$*�ujK��V�����:���G
�z-������&
��� �
����+K`2T
c9b\�m�fHI���h���BH��6�,lF\f
^�y���%5�Lx^���\�B����l\j���J�xw�Z�"����Cf
����@@��&���{��uX�=��;�r
���}���Sdh}�������h���02
�['�6�����XWRd3��1��5����PDS���<4=���1���2�O���rt�y�m8�
h�c�����&
��;�k��j���9-�QZ�5DK��
�mp`��zh��Q6dP������@�n�H�o0�T�������zl3jjB��
����,��]:1q6�s��P�@���� ]����4�~]2�b��
�g����C�~���{�y����]��k�I�
$A����n3)
4&=S�=���t��
uB
�)0Y�p��M��1! 8�3[
�p�t�����3J�;�
]��4;P��
�J,s��
bJW3��B�8:J��e����p�������fh
U|�5�O���L
�6���7xaZK:&�����5S��?��W��g�T��c"�,�)��a���1hQ�����{��G�
������d����\�6})�d5c�7��#�L}5w�HGJ
�� �4\N#�� ����#�E}�8������0R��j:�q�j�&�q��b1��k5
���b�|vY�����^��<t����:��Y,F���3|�>��,�Oj�s9��
�����g�E�
�#
V9�Q������a�9����9I#���,��U�^�6�Ovoo������D��S�'�=*4�0m���������[N��&�G?-6<
����y��W����:
���}�
���
N���
�dv���-C�EEE���(�q��,T���g������8I�/�G�
�c��%~F�����
C4r|]�)5g
�b��
eB��������B��r�fS
������|p�d
���
�;a���yx��E#t/n4�G#�;w"�����n��Y���t*Z�+��YX�
f�<�r�w����V�"
��#��� ��J�$g��������P?be���}�����
fs=���W�U;�:��}�����[��3��D���j�Q����z
��{����B����j:K'
w�M��e0�w
���ZmsA@��O�`��#^����U.ei���Q���?���c_�����S��m�<,�>�vS�����������x#�v�eUN���8��2
�A���v~���Uv���F��o����V0p�+�|1���[W#���,��s��c�$�my��d^�2��[[��\���M�k X���
�
_�����jg�v���:���f�*|$
��������������?�������x��&�
��G�b�_^T�"�@D��:>���v���)�
Q����o|����@mI�!�"r��
����|��i�
8F������go��2�N��:�3.�������5_v��v���Z��S� ������_7}���A�������
$�I)~I��<���'"�SA�*
��,9��\����{n�`�
�_�o�����]c2/���=&C'�H�
8���� ��g9�$�����X_���[�>���_���%������9�\~������������k)�A���e�?��BW�'�c3��O���SS#���?�]*�����L��{�` ���siD���;�P�pX������v��>��=��1zi����(�m��M��Bx��S
�9��Do&�(�j
���M��BaJ�YB� �V�$��jl�".�n�hr%�k���V�\���5��J���?K��w�E��w��mnf���
�_������f��}b��J/}-�?�
|��\�
_��
}7�����,��G��2F�g}��@���!w0U���������Xh���Bj ,>/2�������p� ����������U�W�
���>�_�N�C��/��>��+�2�����t�
�����m����I���$���&�~�Mb@O�)��_�'Kr�������X�l����^?W�(&��6��
�m�=��o�U����
��cq����N ��N0]�k�
Y\9��q������O���WOO���=��w���*�V�0����i�\�6P�g��[�S9���F�0�ys_��0������c�y���
�����^>$�`M�^��;*���R�
|��� ��M��7�u�>�p:����(�lg�D�W�Rrk��NO�ut��&�������� } (0o��f��08 -T��*���v��L����y�O���z:���X=��z<�S�`1���� 5+Pl�TN����)�
�k>9BG��i G��%���T,�//� L�
��
�����9�P@�a����b D��U��N�!A��|j� ��<�N�=� �����I����w��`����'�������:�4�]�����X_�7����*�M�-)��^��5 ��k��q��XA���x7]�����C�ap�
�&rs�c,�x����*�V����z�%�?���p�
�����S�" F��)�J�VIU_����>���UO�4 ��f�K }PUtn���ep���/����������(������~�O�O�
�
�����_�{�1�4
b���|>
;�X+`
�1
at�������/1��^=}�PXt
Y�2�/O�r?�we�#gB)�!'��O�)��j���";Q�?Y�&�j;�L�1��8����
!
r�Q^��E�l:� �5��!O��z�F
��]���g'�������9>99>9(��u�,�!��?
�9~�w���G��O�?����^��
�����M�K1l�c4\�����P,�k���M�����2�l�l)aD
���0�M��l�����
&��>��`�'�����w
�A}&l�b ����(�
&�R}��O�8�T^N��B�;
�������� RU_��y,{�H{�?�?��~�
�O n��~`��6H�
���������x���*��@���n��n������9@�����u2C��,�I���������y%`;^���\<���uG�M�z����p��<T7M�#P�����
e)[Y
�HZ��c�L&�W
9
�X E_
�i�
^�O���_(��8�O����Yi{��� �.0
�?$#a��~�"���vI�! !h����(]n��0�H��Qr��!
��p6���_��8�'
<LG--��&��)
z�<_������5$��;���s
�N�g
������Y�9���O�4����AK�BO�����K��3�]b�-��%�����d|4��kv��j�� �0Q��:�6�����lx����<<9
�~��{�8����+�5?K|@B���,wk����y����xk'�`� �
��T���F9M�x����;�����x
)��P�\QCa�����*�0;����k*������J/�x�dOB�X���i�7
��l5 ����i��&1Lv2�RfO�$NT}Dx��"�� ��d��T
�H�dA���j��(|O���yP�NE�Iv������Ta�����/
�0����
N
��#�cz��c��'�o�e����e��w��
��2�;)v����'73�X�����}F�"+����$`�������������J����;���������a�T�r��6��d�������C��L��p��&~l�����������<�������J#��v�iRS%�����Q�{#���B�|�c
j������������'��Pm)� �����j����)�,YK�x����
�MU���~N�k^�>x�� �o o}J�%~V���n3�V�/o�O+g>w��[��e$:-�{�tV�&��o���]�)3�X
�r��
���Su>��j^`q�5{
xc��,����T����
�(+�yY��>�X�Y�L�H
U�Q�"�^m$6���\? ��KA��$PUI�p)5K�;���Q��'��j
���\���S(���p��l�z�S��!Z��kN�����_�������AO�ME�6��H�B����\A�F�i%a�8����'o���d��Xi���}(�� +�o�
>��(���Fd�6�Y{���rsS
�(��d�B
�w�X�c�{��aBe����
�����I����;���O�:��R������r�|���dC�@������];;�vrwj%u��
J�l{[���\�>���i�q�T��/��2"7�F� ��x�U��b���S
M��?�%��X��B��{7���n�jM^��;�5txa������~"���l�dK��S�{������S�o��9T�E0��(��,:6������Xm�G�N�����c/�~���[)}�fn��[�;.�]�&�%����y�����e��
�������#d���'�Go��?����_���7�J���.q�(%�w0�{�R���Qp>u�{����bG�<\��_-y
� �8�Mj���6����k/����wX������s
���gko ����wlP��B����Ot��������Y��1�9��Me$���\�1�
A2��m`xB��Se:C��[b{g��ii��R��
����,��B)|�4���7�(��j��y���n��?
�����~}#���[lv��2���<=-�ByU���~���
8�
�j��i���G�2b��m��$1B Vz���Xk�4�pH�����9�!e
5|'-�I���c�y���i �QJ�L�+EZx���3_SS'�*�R���1[�>������2��d�w���
�W&.7
�����T�9y(-7�I��x�TEK��Q4\���X����cM�
~
o$g1��M3��`a2���r
�
�
k������P�=�E���#������C:�P��]eS��$�����/ '���!h�~�S/�(���}��g�x
�������T�YrU�
`UzPsp��)q�q\�
��8{3��$���a����;�6�����t.HL{���/�& ���PlC]m�=gma�*y�����������f
�^�B����AJ!f����qpz�4���Y"�&Gd����iL�j�8^
���"��H.�>��]�
��K���������\�]\S���L�d����"R��}3�?��H���=\^J�2;�|u
�
��F�.��<�-���
��?<z~��x�;��1��v3�N��1
�(s � �1�W��� cT?J���z����
� �O������g4��
��m�U&���a�s�/�rJ(H�`@P*Ms5yv�#���B�l��k�rSw�����W�����t��p���K�l,����47
��
��o�x�'[�o���Bq�����o�g����Y�O�o��U����Y�G���Eq�cPJ'$��Q@��w��#�����R�7�J��/q����S;����)�������[K^�%3�xk�yZ!'o���50
��\�K����
�i���n-}��6�����x�e
0?`��6����e��?�|��b0?o�?��x:)R!��e������^�K9�D^�f8'��g����O<�XY<���2��_�dnJ[�\����:��qy�� ���#`����T0D�G9g���.t7}:��~����yh� U�6vU)w�tg��o`�'�g����oU
V�m��{����O����l4Z�����}o�� ��/c�<����U��&t�-{�n�SV���ye�H��yd���u���p�8��AR?�*�P�"����o�=Oj���o��%4��7Y$D2��
�O���
p�����I�LWY�J�z�@����11gz(r^�3�?��zVt6��:���6l��?�
����n�{6�{��2������0~d�r�x4wba�h�������
���a��J��X�o��`�a��u4b�+
�����^2��$���,I� ]�k���^�����!B��}3����C��������X?�����~;��������@�{���w����t�
��He��[7p-M� }J�l{��O��d��R��
,��
L'�H:��$���\$���� W����rz]y�r\��,�?�uR��rt*PSb$��]�|�l�����t#K���s�����%uG/wW����8��Y21��2�Y��dqM�Mh�VTF#7}���X����^�H�e�?�zqcW-�����[�W�k���.V������R
����������
�O��(���@�v��47�UD;:���HF�Pa��
m�Z#^�X����-�������p��?���a����\.�RO%����7!���P�F��4�R6���oq�P�����0W��4���FF:�/g OyAXn����k�&������y�+��Z3��]�\�
���e���
�����'
S� ��8��l�J�#����P�[W�Z ����F�x�+�-�����RY��XYc��k[\��i�iV��7�E�.��P�Bq�)^�YYi���r���N/��J�:_��3�e�����o=�m�6O����*�q���fE�t���U�� ")�gf���@�r���-Y���zE����������L����YGc�([T�n��z�0r_��C='��,.E�6��]���2���hW*��$���[�������VL��^���7V��!�c�zvm4#"U7)���Q��+�6/���:N���6�k�>�����u|�'����
���N�W������������iLo�X1�f��W��~�h��*�Y��/��>?��
����1��+����h|���
��r �"�
o"�i0�w��^�O�l����4���)=�4�(���<I�����!���������b�9�D��������C��Y�R��.~/W�QV��b���M���z���dk+/RS���I�������M���:�!���83�~���A��7
�LS+��Y�
�3@]x���LH��37p���jG�j�������>��o��m���a�\����
�?h��%��a�ss����q�r�5�}����"�o����d*�P,����Ce��LJ�
5U����X*���J�vs���>_��h����|2�
�@iD�4�z�+�f
c����*���o
���i�"�{��=R�P��
cT�45:/>$���R��B�5��]��
w>+�����������E��D�Be��OP]!/V�,#I�H[V
Hd�u����Kn=�`����n�z��"(I�����o�)�y?�
�22�
��c{����<f�51���"������&%� ��;�V�����&`�q��8��(S���2\5�Ma���q�\)M�r���h�����8}+����
J�X�>�z�������s�
�17v�A�1����T��s}����B)qc������w�)�
Prn�k�9����A��Q�4-�� e�^���_�)�(�������8%
��T��-��r��p]����
�m����;�nP%�J�Mn_7�>���Qm]z����D
��O��!����LZ�F���f����7Zv��8^'��R�Vo�F��
%x�����U�_�=!]5I�=P&N(t�yi��� � ZN<�������<����x�/���7��n��o���G�������
�;^���$�;�:r��p�?�g�;��_�fSg
�@h��B��/������e�����9
��_�50����Rir
��� ��\Z�h
��j��������a��yd�
1l�b��&�P��T�DcT�G#/t&��C�.M���x9
��
���������,
�����FUx)���x)�E �7����&|�.���#�����-�9B�n]FT���
�����p
�_�c1�f��_�?���_#��qw�
�](9�)�������{����Z-���Hi,
On 2021-01-15 19:21:32 -0500, Bruce Momjian wrote:
On Fri, Jan 15, 2021 at 02:37:56PM -0800, Andres Freund wrote:
On 2021-01-15 16:47:19 -0500, Bruce Momjian wrote:
I am not even sure there is a consensus on the design, without which
any commit is always premature.If people want changes, I need to hear about it here. I have address
everything people have mentioned in these threads so far.I don't even know how anybody is supposed to realistically review the
design or the patch:This thread started at
/messages/by-id/20210101045047.GB30966@momjian.us - there's no
reference to any discussion of the design at all and the supposed links
to code are dead.You have to understand cryptography and Postgres internals to understand
the design, and I don't think it is realistic to explain that all to the
community. We did much of this in voice calls over months because it
was too much of a burden to explain all the cryptographic details so
everyone could follow along.
I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.
I don't mean to say that we need to re-hash all design details from
scratch - but that there needs to be an explanation somewhere that
describes what's being done on a medium-high level, and what drove those
design decisions.
The last version of the code that I see posted ([1]), has the useless
commit message of "key squash commit" - nothing else. There's no design
documentation included in the patch either, as far as I can tell.Manually searching for the topic brings me to
/messages/by-id/20201202213814.GG20285@momjian.us
, a thread of 52 messages, which provides a bit more context, but
largely just references another thread and a wiki article. The link to
the other thread is into the middle of a 112 message thread.The wiki page doesn't really describe a design either. It has a very
long todo, a bunch of implementation details, but no design.I am not sure what design document you are requesting. I thought the
TODO was that.
The TODO in https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
is a design document?
Nor did 978f869b99 include much in the way of design description.
You cannot expect anybody to review a patch if developing some basic
understanding of the intended design requires reading hundreds of
messages in which the design evolved. And I don't think it's acceptable
to push it due to lack of further feedback, given this situation - the
lack of design description is a blocker in itself.OK, I will just move on to something else then. It is not worth the
feature to go into that kind of discussion again. I am willing to have
voice calls with individuals to explain the logic, but repeatedly
explaining it to the entire group I find unproductive. I don't think
another 400-email thread would help anyone.
Explaining something over voice doesn't help with people in a year or
five trying to understand the code and the design, so they can adapt it
when making half-related changes. Nor do I see why another 400 email
thread would be a necessary consequence of you explaining the design
that you came up with.
This isn't specific to this topic? I don't really understand why this
specific feature gets to avoid normal community development processes?
- tests:
- wait, a .sh test script? No, we shouldn't add any more of those,
they're nightmare across platformsThe script originatad from pg_upgrade. I don't know how to do things
like initdb and stuff another way, at least in our code.
We have had perl tap tests for quite a while now? And all new tests that
aren't regression / isolation tests are expected to be written in it.
Greetings,
Andres Freund
On Fri, Jan 15, 2021 at 04:56:24PM -0800, Andres Freund wrote:
On 2021-01-15 19:21:32 -0500, Bruce Momjian wrote:
You have to understand cryptography and Postgres internals to understand
the design, and I don't think it is realistic to explain that all to the
community. We did much of this in voice calls over months because it
was too much of a burden to explain all the cryptographic details so
everyone could follow along.I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.
OK, so we don't want it. That's fine with me.
I don't mean to say that we need to re-hash all design details from
scratch - but that there needs to be an explanation somewhere that
describes what's being done on a medium-high level, and what drove those
design decisions.
I thought the TODO list was that, and the email threads.
The wiki page doesn't really describe a design either. It has a very
long todo, a bunch of implementation details, but no design.I am not sure what design document you are requesting. I thought the
TODO was that.The TODO in https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Other_requirements
is a design document?
Yes.
Nor did 978f869b99 include much in the way of design description.
You cannot expect anybody to review a patch if developing some basic
understanding of the intended design requires reading hundreds of
messages in which the design evolved. And I don't think it's acceptable
to push it due to lack of further feedback, given this situation - the
lack of design description is a blocker in itself.OK, I will just move on to something else then. It is not worth the
feature to go into that kind of discussion again. I am willing to have
voice calls with individuals to explain the logic, but repeatedly
explaining it to the entire group I find unproductive. I don't think
another 400-email thread would help anyone.Explaining something over voice doesn't help with people in a year or
five trying to understand the code and the design, so they can adapt it
when making half-related changes. Nor do I see why another 400 email
thread would be a necessary consequence of you explaining the design
that you came up with.
I have underestimated the amount of discussion this has required
repeatedly, and I don't want to make that mistake again.
This isn't specific to this topic? I don't really understand why this
specific feature gets to avoid normal community development processes?
What is being avoided?
- tests:
- wait, a .sh test script? No, we shouldn't add any more of those,
they're nightmare across platformsThe script originatad from pg_upgrade. I don't know how to do things
like initdb and stuff another way, at least in our code.We have had perl tap tests for quite a while now? And all new tests that
aren't regression / isolation tests are expected to be written in it.
What Perl tap tests run initdb and manage the cluster? I didn't find
any.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hi,
On 2021-01-15 20:49:10 -0500, Bruce Momjian wrote:
On Fri, Jan 15, 2021 at 04:56:24PM -0800, Andres Freund wrote:
On 2021-01-15 19:21:32 -0500, Bruce Momjian wrote:
You have to understand cryptography and Postgres internals to understand
the design, and I don't think it is realistic to explain that all to the
community. We did much of this in voice calls over months because it
was too much of a burden to explain all the cryptographic details so
everyone could follow along.I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.OK, so we don't want it. That's fine with me.
That's not what I said...
This isn't specific to this topic? I don't really understand why this
specific feature gets to avoid normal community development processes?What is being avoided?
You previously pushed a patch without tests, now you want to push a
patch that was barely reviewed and also doesn't contain an explanation
of the design. I mean:
You have to understand cryptography and Postgres internals to understand
the design, and I don't think it is realistic to explain that all to the
community. We did much of this in voice calls over months because it
was too much of a burden to explain all the cryptographic details so
everyone could follow along.
really is very far from the normal community process. Again, how is this
supposed to be maintained in the future, if it's based on a design
that's only understandable to the people on those phone calls?
We have had perl tap tests for quite a while now? And all new tests that
aren't regression / isolation tests are expected to be written in it.What Perl tap tests run initdb and manage the cluster? I didn't find
any.
find . -name '*.pl'|xargs grep 'use PostgresNode;'
should give you a nearly complete list.
Greetings,
Andres Freund
On Fri, Jan 15, 2021 at 08:20:36PM -0800, Andres Freund wrote:
On 2021-01-15 20:49:10 -0500, Bruce Momjian wrote:
What Perl tap tests run initdb and manage the cluster? I didn't find
any.find . -name '*.pl'|xargs grep 'use PostgresNode;'
should give you a nearly complete list.
Just to add that all the perl modules we use for the tests are within
src/test/perl/. The coolest tests are within src/bin/ and src/test/.
--
Michael
I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.OK, so we don't want it. That's fine with me.
That's not what I said...
I think the majority of us believe that it is important we take this
first step towards a solid TDE implementation in PostgreSQL that is
built around the community processes which involves general consensus.
Before this feature falls into the “we will never do it because we
will never build consensus" category and community PostgreSQL
potentially gets locked out of more deployment scenarios that require
this feature I would like to see if I can help with this current
attempt at it. I will share that I am concerned that if the people who
have been involved in this to date can’t get this in, it will never
happen.
Admittedly I am a novice on this topic, and the majority of the
PostgreSQL source code, however I am hopeful enough (those of you who
know me understand that I suffer from eternal optimism) that I am
going to attempt to help.
Is there a design document for a Postgres feature of this size and
scope that people feel would serve as a good example? Alternatively,
is there a design document template that has been successfully used in
the past? I could guess based on things I have observed reading this
list for many years. However, if there is something that those who are
deeply involved in the development effort feel would suffice as an
example of a "good design document" or a "good design template"
sharing it would be greatly appreciated.
On Sun, Jan 17, 2021 at 5:38 AM Tom Kincaid <tomjohnkincaid@gmail.com> wrote:
I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.OK, so we don't want it. That's fine with me.
That's not what I said...
I think the majority of us believe that it is important we take this
first step towards a solid TDE implementation in PostgreSQL that is
built around the community processes which involves general consensus.Before this feature falls into the “we will never do it because we
will never build consensus" category and community PostgreSQL
potentially gets locked out of more deployment scenarios that require
this feature I would like to see if I can help with this current
attempt at it. I will share that I am concerned that if the people who
have been involved in this to date can’t get this in, it will never
happen.Admittedly I am a novice on this topic, and the majority of the
PostgreSQL source code, however I am hopeful enough (those of you who
know me understand that I suffer from eternal optimism) that I am
going to attempt to help.Is there a design document for a Postgres feature of this size and
scope that people feel would serve as a good example? Alternatively,
is there a design document template that has been successfully used in
the past?
We normally write the design considerations and choices we made with
the reasons in README and code comments. Personally, I am not sure if
there is a need for any specific document per-se but a README and
detailed comments in the code should suffice what people are worried
about here. It is mostly from the perspective that other developers
reading the code, want to do bug-fix, or later enhance that code
should be able to understand it. One recent example I can give is
Peter's work on bottom-up deletion [1]https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=d168b666823b6e0bcf60ed19ce24fb5fb91b8ccf which I have read today where I
find that the design is captured via README, appropriate comments in
the code, and documentation. This feature is quite different and
probably a lot more new concepts are being introduced but I hope that
will give you some clue.
--
With Regards,
Amit Kapila.
Hi,
On 2021-01-17 11:54:57 +0530, Amit Kapila wrote:
On Sun, Jan 17, 2021 at 5:38 AM Tom Kincaid <tomjohnkincaid@gmail.com> wrote:
Admittedly I am a novice on this topic, and the majority of the
PostgreSQL source code, however I am hopeful enough (those of you who
know me understand that I suffer from eternal optimism) that I am
going to attempt to help.Is there a design document for a Postgres feature of this size and
scope that people feel would serve as a good example? Alternatively,
is there a design document template that has been successfully used in
the past?We normally write the design considerations and choices we made with
the reasons in README and code comments. Personally, I am not sure if
there is a need for any specific document per-se but a README and
detailed comments in the code should suffice what people are worried
about here.
Right. It could be a README file, or a long comment at a start of one of
the files. It doesn't matter too much. What matters is that people that
haven't been on those phone call can understand the design and the
implications it has.
It is mostly from the perspective that other developers
reading the code, want to do bug-fix, or later enhance that code
should be able to understand it.
I'd add the perspective of code reviewers as well.
One recent example I can give is
Peter's work on bottom-up deletion [1] which I have read today where I
find that the design is captured via README, appropriate comments in
the code, and documentation. This feature is quite different and
probably a lot more new concepts are being introduced but I hope that
will give you some clue.
This is a great example.
Greetings,
Andres Freund
On Fri, Jan 15, 2021 at 7:56 PM Andres Freund <andres@anarazel.de> wrote:
I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.
I agree. If the community is unable to clearly understand what
something is, and why we should have it, then we shouldn't have it --
even if the reason is that we're too dumb to understand, as Bruce
seems to be alleging. I don't really think I believe the theory that
community members by and large are too dumb to understand encryption.
Many features have provoked long and painful discussions about the
design and yet got into the tree in the end with documentation of that
design, and I don't see why that couldn't be done for this one, too. I
think it can and should, and the fact that the work hasn't been done
is one of several blockers for this patch. But even if I'm wrong, and
the real problem is that everyone except the select group of people on
these off-list phone calls are too stupid to understand this, then
that's still a reason not to accept the patch. The code that's in our
source tree is maintained by communal effort, and that means communal
understanding is important.
Frankly, it's more important in this particular case than in some
others. TDE is in great demand, so if it gets into the tree, it's
likely to get a lot of use. The preparatory patches, such as this one,
would at that point be getting a lot of use, too. That means many
people, not just hackers, will have to understand them and answer
questions about them. They are also likely to get a lot of scrutiny
from a security point of view, so we should have a way that we can be
confident that we know why we believe them to be secure. If a security
researcher shows up and says "your stuff is broken," we are not going
to get away with it "no it isn't, because we discussed it on a Friday
call with a closed group of people and decided it was OK." Our
reasoning is going to have to be documented. That doesn't guarantee
that it will be correct, but makes it possible to distinguish between
defects in design, defects in particular parts of the code, and
non-defects, which is otherwise impossible. Meanwhile, even if
security researches are as happy with our TDE implementation as they
could possibly be, a feature that changes the on-disk format can't
erase our ability to solve other problems with the database. Databases
using TDE are still going to have corruption, for example, but now a
corrupted page has a good chance of being completely unreadable rather
than just garbled. You certainly aren't going to be able to just run
pg_filedump on it. I think even if we do a great job explaining to
everybody what impact TDE and its preparatory patches are likely to
have on the system, there's likely to be a lot of cases where users
blame the database for eating their data when the real culprit is the
OS or the hardware, just because such cases are bound to get harder to
investigate, which could have a very negative effect on the
perceptions of PostgreSQL's quality. But if the TDE itself is magic
that only designated smart people on special calls can understand,
then it's going to be far worse, because that'll mean when any kind of
TDE problems comes up, nobody else can help debug anything.
While I would like to have TDE in PostgreSQL, I would not like to have
it on those terms.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Sun, Jan 17, 2021 at 07:50:13PM -0500, Robert Haas wrote:
On Fri, Jan 15, 2021 at 7:56 PM Andres Freund <andres@anarazel.de> wrote:
I think that's not at all acceptable. I don't mind hashing out details
on calls / off-list, but the design needs to be public, documented, and
reviewable. And if it's something the community can't understand, then
it can't get in. We're going to have to maintain this going forward.I agree. If the community is unable to clearly understand what
something is, and why we should have it, then we shouldn't have it --
even if the reason is that we're too dumb to understand, as Bruce
I am not sure why you are brining intelligence into this discussion.
You have to understand Postgres internals and cryptography tradeoffs to
understand why some of the design decisions were made. It is a
knowledge issue, not an intelligence issue. The wiki page is the result
of those phone discussions.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Sun, Jan 17, 2021 at 11:54:57AM +0530, Amit Kapila wrote:
Is there a design document for a Postgres feature of this size and
scope that people feel would serve as a good example? Alternatively,
is there a design document template that has been successfully used in
the past?We normally write the design considerations and choices we made with
the reasons in README and code comments. Personally, I am not sure if
there is a need for any specific document per-se but a README and
detailed comments in the code should suffice what people are worried
about here. It is mostly from the perspective that other developers
reading the code, want to do bug-fix, or later enhance that code
should be able to understand it. One recent example I can give is
Peter's work on bottom-up deletion [1] which I have read today where I
find that the design is captured via README, appropriate comments in
the code, and documentation. This feature is quite different and
probably a lot more new concepts are being introduced but I hope that
will give you some clue.
OK, I looked at that and it is good, and I see my patch is missing that.
Are people looking for me to take the wiki content, expand on it and tie
it to the code that will be applied, or something else like all the
various crypto options and why we chose what we did beyond what is
already on the wiki? I can easily go from what we have on the wiki to
implementation code steps, but the other part is harder to explain and
that is why I offered to talk to people via voice.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Sat, Jan 16, 2021 at 10:58:47PM -0800, Andres Freund wrote:
Hi,
On 2021-01-17 11:54:57 +0530, Amit Kapila wrote:
On Sun, Jan 17, 2021 at 5:38 AM Tom Kincaid <tomjohnkincaid@gmail.com> wrote:
Admittedly I am a novice on this topic, and the majority of the
PostgreSQL source code, however I am hopeful enough (those of you who
know me understand that I suffer from eternal optimism) that I am
going to attempt to help.Is there a design document for a Postgres feature of this size and
scope that people feel would serve as a good example? Alternatively,
is there a design document template that has been successfully used in
the past?We normally write the design considerations and choices we made with
the reasons in README and code comments. Personally, I am not sure if
there is a need for any specific document per-se but a README and
detailed comments in the code should suffice what people are worried
about here.Right. It could be a README file, or a long comment at a start of one of
the files. It doesn't matter too much. What matters is that people that
haven't been on those phone call can understand the design and the
implications it has.
OK, so does the wiki page contain most of what you want, but is missing
the connection between the design and the code?
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Mon, Jan 18, 2021 at 10:50:37AM -0500, Bruce Momjian wrote:
OK, I looked at that and it is good, and I see my patch is missing that.
Are people looking for me to take the wiki content, expand on it and tie
it to the code that will be applied, or something else like all the
various crypto options and why we chose what we did beyond what is
already on the wiki? I can easily go from what we have on the wiki to
implementation code steps, but the other part is harder to explain and
that is why I offered to talk to people via voice.
Just to clarify why voice calls can be helpful --- if you have to get
into "you have to understand X to understand Y", that's where a voice
call works best, because understanding X will require understanding
A/B/C, and everyone's missing pieces are different, so you have to
customize it for the individual.
You can explain some of this in a README, but trying to cover all of it
leads to a combinatorial problem of trying to explain everything.
Ideally the wiki page can be expanded so people can ask and answer all
posted issues, perhaps in a Q&A format. Someone could go through the
archives and post why certain decisions were made, and link to the
original emails.
I have to admit I was kind of baffled that the wiki page wasn't
sufficient, because it is one of the longest Postgres feature
explanations I have seen, but I now think the missing part is tying
the wiki contents to the code implementation. If that is it, please
confirm. If it is something else, also explain.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hi,
On 2021-01-18 12:06:35 -0500, Bruce Momjian wrote:
On Mon, Jan 18, 2021 at 10:50:37AM -0500, Bruce Momjian wrote:
OK, I looked at that and it is good, and I see my patch is missing that.
Are people looking for me to take the wiki content, expand on it and tie
it to the code that will be applied, or something else like all the
various crypto options and why we chose what we did beyond what is
already on the wiki? I can easily go from what we have on the wiki to
implementation code steps, but the other part is harder to explain and
that is why I offered to talk to people via voice.Just to clarify why voice calls can be helpful --- if you have to get
into "you have to understand X to understand Y", that's where a voice
call works best, because understanding X will require understanding
A/B/C, and everyone's missing pieces are different, so you have to
customize it for the individual.
I don't think anybody argued against having voice calls.
You can explain some of this in a README, but trying to cover all of it
leads to a combinatorial problem of trying to explain everything.
Ideally the wiki page can be expanded so people can ask and answer all
posted issues, perhaps in a Q&A format. Someone could go through the
archives and post why certain decisions were made, and link to the
original emails.I have to admit I was kind of baffled that the wiki page wasn't
sufficient, because it is one of the longest Postgres feature
explanations I have seen, but I now think the missing part is tying
the wiki contents to the code implementation. If that is it, please
confirm. If it is something else, also explain.
I don't think the wiki right now covers what's needed. The "Overview",
"Threat model" and "Scope of TDE" are a start, but beyond that it's
missing a bunch of things. And it's not in the source tree (we'll soon
have multiple versions of postgres with increasing levels of TDE
features, the wiki doesn't help with that)
Missing:
- talks about cluster wide encyrption being simpler, without mentioning
what it's being compared to, and what makes it simpler
- no differentiation from file system / block level encryption
- there's no explanation of which/why specific crypto primitives were
chosen, what the tradeoffs are
- no explanation which keys exists, stored where
- the key management patch introduces new files, not documented
- there's new types of lock files, possibility of interrupted
operations, ... - no documentation of what that means
- there's no documentation what "key wrapping" actually precisely is,
what the danger of the two-tier model is, ...
- are there dangers in not encrypting zero pages etc?
- ...
Personally, but I admit that there's legitimate reasons to differ on
that note, I don't think it's reasonable for a feature this invasive to
commit preliminary patches without the major subsequent patches being in
a shape that allows reviewing the whole picture.
Greetings,
Andres Freund
On Mon, Jan 18, 2021 at 09:42:54AM -0800, Andres Freund wrote:
Personally, but I admit that there's legitimate reasons to differ on
that note, I don't think it's reasonable for a feature this invasive to
commit preliminary patches without the major subsequent patches being in
a shape that allows reviewing the whole picture.
OK, if that is a requirement, I can't help anymore since there are
already complaints that the patch is too large to review, even if broken
into pieces. Please let me know what the community decides.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
I have to admit I was kind of baffled that the wiki page wasn't
sufficient, because it is one of the longest Postgres feature
explanations I have seen, but I now think the missing part is tying
the wiki contents to the code implementation. If that is it, please
confirm. If it is something else, also explain.I don't think the wiki right now covers what's needed. The "Overview",
"Threat model" and "Scope of TDE" are a start, but beyond that it's
missing a bunch of things. And it's not in the source tree (we'll soon
have multiple versions of postgres with increasing levels of TDE
features, the wiki doesn't help with that)
Thanks, the versioning issue makes sense for the design document
needing to be part of the the source tree.
As I was reading the README for the patch Amit referenced and as I am
going through this patch, I feel the desire to incorporate diagrams.
Are design diagrams ever incorporated in the source tree as a part of
the design description of a feature? If not, any concerns about doing
that? I think that is likely where I can contribute the most.
Missing:
- talks about cluster wide encyrption being simpler, without mentioning
what it's being compared to, and what makes it simpler
- no differentiation from file system / block level encryption
- there's no explanation of which/why specific crypto primitives were
chosen, what the tradeoffs are
- no explanation which keys exists, stored where
- the key management patch introduces new files, not documented
- there's new types of lock files, possibility of interrupted
operations, ... - no documentation of what that means
- there's no documentation what "key wrapping" actually precisely is,
what the danger of the two-tier model is, ...
- are there dangers in not encrypting zero pages etc?
- ...
Some of the missing things you mention above are about the design of
TDE feature in general. However, this patch is about Key Management
which is going part of the larger TDE feature. So it feels as though
there is the need for a general design document about the overall
vision / approach for TDE and a specific design doc. for Key
Management. Is it appropriate to include both of those in the same
patch?
Something along the lines here is the overall design of TDE and here
is how the Key Management portion is designed and implemented. I guess
in that case, follow on patches for TDE could refer to the overall
design described in this patch.
Personally, but I admit that there's legitimate reasons to differ on
that note, I don't think it's reasonable for a feature this invasive to
commit preliminary patches without the major subsequent patches being in
a shape that allows reviewing the whole picture.Greetings,
Andres Freund
--
Thomas John Kincaid
On 2021-01-18 13:58:20 -0500, Bruce Momjian wrote:
On Mon, Jan 18, 2021 at 09:42:54AM -0800, Andres Freund wrote:
Personally, but I admit that there's legitimate reasons to differ on
that note, I don't think it's reasonable for a feature this invasive to
commit preliminary patches without the major subsequent patches being in
a shape that allows reviewing the whole picture.OK, if that is a requirement, I can't help anymore since there are
already complaints that the patch is too large to review, even if broken
into pieces. Please let me know what the community decides.
Those aren't conflicting demands. Having later patches around to
validate the design of earlier patches doesn't necessitates that the
later patches need to be reviewed at the same time.
On Mon, Jan 18, 2021 at 2:00 PM Tom Kincaid <tomjohnkincaid@gmail.com> wrote:
Some of the missing things you mention above are about the design of
TDE feature in general. However, this patch is about Key Management
which is going part of the larger TDE feature. So it feels as though
there is the need for a general design document about the overall
vision / approach for TDE and a specific design doc. for Key
Management. Is it appropriate to include both of those in the same
patch?
To me, it wouldn't make sense to commit a full README for a TDE
feature that we don't have yet with a key management patch, but the
way that they'll interact with each other has to be clear. The
doc/database-encryption.sgml file that Bruce included in the patch is
a decent start on explaining the design, though I think it needs more
work and more details, perhaps including some of the things Andres
mentioned.
To be honest, after reading over that SGML documentation a bit, I'm
somewhat skeptical about whether it really makes sense to think about
committing the key management part separately. It seems to have no use
independent of the main feature, and it in fact embeds very specific
details of how the main feature is expected to work. For example, the
documentation says that key #0 will be used for data files, and key #1
for WAL. There seems to be no suggestion that the key management
portion of this can be used to manage encryption keys generally for
whatever purposes someone might have; it's all about the needs of a
particular TDE implementation. Typically, we would not commit
something like that separately, or only once the main patch was done,
with the two commits occurring in a relatively short time period.
Otherwise, as Bruce already noted, we can end up with something that
is documented and visible to users but doesn't actually work yet.
Some more specific comments on data-encryption.sgml:
* The documentation explains that the purpose of having a WAL key
separate from the data file key is so that the data file keys can
"eventually" be rotated. It's not clear whether this means that we
might eventually have that feature or that we might eventually be able
to rotate, after failing over. If this kind of thing is possible,
we'll eventually need documentation on how to do it.
* The reasons for use a DEK and a KEK are not explained. I realize
it's not an uncommon practice and that other systems do it, but I
think a few sentences of explanation wouldn't be a bad idea. Even if
we are supposing that hackers who want to have input into this feature
have to be knowledgeable about cryptography, I don't think we can
reasonably suppose that for users.
* "For example" is at one point followed by a period rather than a
colon or comma.
* In the "Internals" subsection, the last sentence doesn't seem to be
grammatical. I wonder if it's missing the word "or"'.
* The part about integrity-checking keys on startup isn't clear. It
makes it sound like we still have a copy of the KEK lying around
someplace against which we can compare, which I assume is not the case
since it would be really insecure.
* I think it's going to be pretty important that we can easily switch
to other cryptographic algorithms as they are discovered, so I don't
like the fact that this is tied specifically to AES. (In fact,
kmgr_utils.h makes it sound like we're specifically locked into
AES256, but that contradicts the documentation, so I guess there's
some clarification needed here about what exactly KMGR_CLUSTER_KEY_LEN
is doing.) As far as possible we should try to make this generic, like
supporting any cipher that SSL has which has property X. It seems
relatively inevitable that every currently popular cryptographic
algorithm will at some point in the future be judged weak and
worthless, just as has already happened with MD5 and some variants of
SHA, both of which used to be considered state of the art. It seems
equally inevitable that new and stronger algorithms will continued to
be devised, and we'll want to adopt those easily.
I'm not sure to what extent this a serious flaw in the patch and to
what extent it's just a matter of tweaking the wording of some things,
but I think this is actually an extremely critical design point where
we had better be certain we've got it right. Few things would be
sadder than to get a TDE feature and then have to rip it out again
because it couldn't be upgraded to work with newer crypto algorithms
with reasonable effort.
Notes on other parts of the documentation:
* The documentation for initdb -K doesn't list the valid values of the
parameter, only the default. Probably we should be specifying an
algorithm here and not just a bit count. Otherwise, like I say above,
what happens when AES gives way to something else? It'd be easy to say
-K BFT256 instead of -K AES256, but if AES is assumed and it's no
longer what we want them we have problems. This kind of thing probably
needs to be cleaned up in a bunch of places.
* I don't see the point of saying "a passphrase or PIN." We don't need
to document that your passphrase might happen to only contain digits.
* pg_alterckey's description of "repair" is hard to understand. It
doesn't really explain why or how this would be necessary, and it begs
the question of why we'd ever leave things in a state that requires
repair. This is sketched out in code comments elsewhere, but I think
at least some of it needs to be explained in the documentation as
well. (Incidentally, I don't think the comments at the top of
recover_failure will survive a visit from pgindent, though I might be
wrong about that.)
* The changes to config.sgml say "Sample script" instead of "Sample scripts".
* I don't think that the documentation of %R is very clear, or
adequate for someone to make effective use of it. If I wanted to use
%R, how would I ensure that a value is available?
* The changes to allfiles.sgml add pg_alterckey.sgml in the wrong
place and include an incorrect whitespace change.
* It's odd that "pg_alterckey" describes itself as "technically"
changing the KEK. Isn't that just what it does, not a technicality? I
imagine we'll ultimately need a way to change a DEK as well, because
otherwise the use of a separate key for the WAL wouldn't accomplish
the intended goal.
--
Robert Haas
EDB: http://www.enterprisedb.com
I met with Bruce and Stephen this afternoon to discuss the feedback
we received so far (prior to Robert's note which I haven't fully
digested yet)
on this patch.
Here is what we plan to do:
1) Bruce is going to gather all the details from the Wiki and build a
README for the TDE Key Management patch. In addition, it will include
details about the implementation, the data structures involved and the
locks that are taken and general technical implementation approach.
2) Stephen is going to write up the overall design of TDE.
Between these two patches, we hope to cover what Andres is asking for
and what Robert is asking for in his reply on this thread which I
haven't fully digested yet.
Stephen's documentation patch will also make reference to Neil Chen's
TDE prototype for making use of this Key Management patch to encrypt
and
decrypt heap pages as well as index pages.
/messages/by-id/CAA3qoJ=qtO5JcSBjqFDBT9iKUX9XKmC5bXCrd7rysE+XSMEuTg@mail.gmail.com
3) Tom will work to find somebody who will sign up as a reviewer upon
the next submission of this patch. (Somebody who is not an author).
Could we get feedback if this feels like enough to get this patch
(which will include just the Key Management portion of TDE) to a state
where it can be reviewed and assuming the review issues are resolved
with consensus be committed?
On Mon, Jan 18, 2021 at 2:00 PM Andres Freund <andres@anarazel.de> wrote:
On 2021-01-18 13:58:20 -0500, Bruce Momjian wrote:
On Mon, Jan 18, 2021 at 09:42:54AM -0800, Andres Freund wrote:
Personally, but I admit that there's legitimate reasons to differ on
that note, I don't think it's reasonable for a feature this invasive to
commit preliminary patches without the major subsequent patches being in
a shape that allows reviewing the whole picture.OK, if that is a requirement, I can't help anymore since there are
already complaints that the patch is too large to review, even if broken
into pieces. Please let me know what the community decides.Those aren't conflicting demands. Having later patches around to
validate the design of earlier patches doesn't necessitates that the
later patches need to be reviewed at the same time.
--
Thomas John Kincaid
On Mon, Jan 18, 2021 at 04:38:47PM -0500, Robert Haas wrote:
To me, it wouldn't make sense to commit a full README for a TDE
feature that we don't have yet with a key management patch, but the
way that they'll interact with each other has to be clear. The
doc/database-encryption.sgml file that Bruce included in the patch is
a decent start on explaining the design, though I think it needs more
work and more details, perhaps including some of the things Andres
mentioned.
Sure.
To be honest, after reading over that SGML documentation a bit, I'm
somewhat skeptical about whether it really makes sense to think about
committing the key management part separately. It seems to have no use
independent of the main feature, and it in fact embeds very specific
For usefulness, it does enable passphrase prompting for the TLS private
key.
details of how the main feature is expected to work. For example, the
documentation says that key #0 will be used for data files, and key #1
for WAL. There seems to be no suggestion that the key management
portion of this can be used to manage encryption keys generally for
whatever purposes someone might have; it's all about the needs of a
particular TDE implementation. Typically, we would not commit
We originally were going to have SQL-level keys, but many felt they
weren't useful.
something like that separately, or only once the main patch was done,
with the two commits occurring in a relatively short time period.
Otherwise, as Bruce already noted, we can end up with something that
is documented and visible to users but doesn't actually work yet.
Yep, that is the risk.
Some more specific comments on data-encryption.sgml:
* The documentation explains that the purpose of having a WAL key
separate from the data file key is so that the data file keys can
"eventually" be rotated. It's not clear whether this means that we
might eventually have that feature or that we might eventually be able
to rotate, after failing over. If this kind of thing is possible,
we'll eventually need documentation on how to do it.
I have clarified that saying "future release".
* The reasons for use a DEK and a KEK are not explained. I realize
it's not an uncommon practice and that other systems do it, but I
think a few sentences of explanation wouldn't be a bad idea. Even if
we are supposing that hackers who want to have input into this feature
have to be knowledgeable about cryptography, I don't think we can
reasonably suppose that for users.
I added a little about that in the docs.
* "For example" is at one point followed by a period rather than a
colon or comma.
Fixed.
* In the "Internals" subsection, the last sentence doesn't seem to be
grammatical. I wonder if it's missing the word "or"'.
Fixed.
* The part about integrity-checking keys on startup isn't clear. It
makes it sound like we still have a copy of the KEK lying around
someplace against which we can compare, which I assume is not the case
since it would be really insecure.
I rewored that entire section. See if it is better now.
* I think it's going to be pretty important that we can easily switch
to other cryptographic algorithms as they are discovered, so I don't
like the fact that this is tied specifically to AES. (In fact,
kmgr_utils.h makes it sound like we're specifically locked into
AES256, but that contradicts the documentation, so I guess there's
some clarification needed here about what exactly KMGR_CLUSTER_KEY_LEN
is doing.) As far as possible we should try to make this generic, like
supporting any cipher that SSL has which has property X. It seems
relatively inevitable that every currently popular cryptographic
algorithm will at some point in the future be judged weak and
worthless, just as has already happened with MD5 and some variants of
SHA, both of which used to be considered state of the art. It seems
equally inevitable that new and stronger algorithms will continued to
be devised, and we'll want to adopt those easily.
That is a nifty idea. Right now I just pass the integer length around,
and store it in pg_control, but if we define macros, we can easily
abstract this and easily allow for new methods. If others like that, I
will start on it now.
I'm not sure to what extent this a serious flaw in the patch and to
what extent it's just a matter of tweaking the wording of some things,
but I think this is actually an extremely critical design point where
we had better be certain we've got it right. Few things would be
sadder than to get a TDE feature and then have to rip it out again
because it couldn't be upgraded to work with newer crypto algorithms
with reasonable effort.
Yep.
Notes on other parts of the documentation:
* The documentation for initdb -K doesn't list the valid values of the
parameter, only the default. Probably we should be specifying an
Fixed.
algorithm here and not just a bit count. Otherwise, like I say above,
what happens when AES gives way to something else? It'd be easy to say
-K BFT256 instead of -K AES256, but if AES is assumed and it's no
longer what we want them we have problems. This kind of thing probably
needs to be cleaned up in a bunch of places.
Again, I can do that if people like it.
* I don't see the point of saying "a passphrase or PIN." We don't need
to document that your passphrase might happen to only contain digits.
Well, PIN is what the Yubikey and PIV devices call it, so I thought I
should give specific examples of inputs.
* pg_alterckey's description of "repair" is hard to understand. It
doesn't really explain why or how this would be necessary, and it begs
the question of why we'd ever leave things in a state that requires
repair. This is sketched out in code comments elsewhere, but I think
at least some of it needs to be explained in the documentation as
well. (Incidentally, I don't think the comments at the top of
recover_failure will survive a visit from pgindent, though I might be
wrong about that.)
Fixed with rewording. Better?
* The changes to config.sgml say "Sample script" instead of "Sample scripts".
Fixed.
* I don't think that the documentation of %R is very clear, or
adequate for someone to make effective use of it. If I wanted to use
%R, how would I ensure that a value is available?
Fixed, use -R on server start.
* The changes to allfiles.sgml add pg_alterckey.sgml in the wrong
place and include an incorrect whitespace change.
Uh, the whitespace change was to align the column. I will review and
push that separately.
* It's odd that "pg_alterckey" describes itself as "technically"
changing the KEK. Isn't that just what it does, not a technicality? I
imagine we'll ultimately need a way to change a DEK as well, because
otherwise the use of a separate key for the WAL wouldn't accomplish
the intended goal.
"technically" removed. I kind of wanted to say "in detail" or something
like that, but removing the word is fine. Change-only patch attached so
you can see the changes more easily.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EnterpriseDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
key_changes.difftext/x-diff; charset=us-asciiDownload
diff --git a/doc/src/sgml/config.sgml b/doc/src/sgml/config.sgml
index 8f62e884b1..e6e4f346f1 100644
--- a/doc/src/sgml/config.sgml
+++ b/doc/src/sgml/config.sgml
@@ -1460,20 +1460,21 @@ include_dir 'conf.d'
<para>
The command must print the passphrase to the standard output
and exit with code 0. It can prompt from the terminal if
- <option>--authprompt</option> is used. In the parameter value,
- <literal>%R</literal> represents the file descriptor number opened
- to the terminal that started the server. A file descriptor is only
- available if enabled at server start. If <literal>%R</literal>
- is used and no file descriptor is available, the server will not
- start. Value <literal>%p</literal> is replaced by a pre-defined
- prompt string. (Write <literal>%%</literal> for a literal
- <literal>%</literal>.) Note that the prompt string will probably
- contain whitespace, so be sure to quote its use adequately.
- Newlines are stripped from the end of the output if present.
+ <option>--authprompt</option> is used. In the parameter
+ value, <literal>%R</literal> is replaced by a file descriptor
+ number opened to the terminal that started the server. A file
+ descriptor is only available if enabled at server start via
+ <option>-R</option>. If <literal>%R</literal> is specified and
+ no file descriptor is available, the server will not start. Value
+ <literal>%p</literal> is replaced by a pre-defined prompt string.
+ (Write <literal>%%</literal> for a literal <literal>%</literal>.)
+ Note that the prompt string will probably contain whitespace,
+ so be sure to quote its use adequately. Newlines are stripped
+ from the end of the output if present.
</para>
<para>
- Sample script can be found in
+ Sample scripts can be found in
<filename>$SHAREDIR/auth_commands</filename>,
where <literal>$SHAREDIR</literal> means the
<productname>PostgreSQL</productname> installation's shared-data
@@ -7874,15 +7875,16 @@ COPY postgres_log FROM '/full/path/to/logfile.csv' WITH csv;
server start.
</para>
<para>
- The command must print the cluster key to the standard output as
- 64 hexadecimal characters, and exit with code 0. The command
- can prompt for the passphrase or PIN from the terminal if
- <option>--authprompt</option> is used. In the parameter value,
- <literal>%R</literal> represents the file descriptor number opened
- to the terminal that started the server. A file descriptor is only
- available if enabled at server start. If <literal>%R</literal>
- is used and no file descriptor is available, the server will not
- start. Value <literal>%p</literal> is replaced by a pre-defined
+ The command must print the cluster key to the standard
+ output as 64 hexadecimal characters, and exit with code 0.
+ The command can prompt for the passphrase or PIN from the
+ terminal if <option>--authprompt</option> is used. In the
+ parameter value, <literal>%R</literal> is replaced by a file
+ descriptor number opened to the terminal that started the server.
+ A file descriptor is only available if enabled at server start
+ via <option>-R</option>. If <literal>%R</literal> is specified
+ and no file descriptor is available, the server will not start.
+ Value <literal>%p</literal> is replaced by a pre-defined
prompt string. Value <literal>%d</literal> is replaced by the
directory containing the keys; this is useful if the command
must create files with the keys, e.g., to store a cluster-level
diff --git a/doc/src/sgml/database-encryption.sgml b/doc/src/sgml/database-encryption.sgml
index cb62f1d975..8eece94322 100644
--- a/doc/src/sgml/database-encryption.sgml
+++ b/doc/src/sgml/database-encryption.sgml
@@ -24,8 +24,8 @@
Key one is used to encrypt write-ahead log (WAL) files. Two different
keys are used so that primary and standby servers can use different zero
(heap/index/temp) keys, but the same one (WAL) key, so that these keys
- can eventually be rotated by switching the primary to the standby
- and then changing the WAL key.
+ can (in a future release) be rotated by switching the primary to the
+ standby and then changing the WAL key.
</para>
<para>
@@ -36,7 +36,10 @@
each time the server is started. This key prevents anyone with access
to the database directories from decrypting the data because they do
not know the second-level key which encrypted the first-level keys
- which encrypted the database cluster files.
+ which encrypted the database cluster files. This key can be easily
+ changed via <command>pg_alterckey</command> without requiring any
+ changes to the the data files or <command>WAL</command> files, which
+ are encrypted with the data keys.
</para>
<sect1 id="encryption-file-encryption">
@@ -54,7 +57,7 @@
<filename>postgresql.conf</filename> must match for the database
cluster to start. Note that the cluster key command
passed to <command>initdb</command> must return a key of
- 64 hexadecimal characters. For example.
+ 64 hexadecimal characters. For example:
<programlisting>
initdb -D dbname --cluster-key-command='ckey_passphrase.sh'
</programlisting>
@@ -71,7 +74,8 @@ initdb -D dbname --cluster-key-command='ckey_passphrase.sh'
the key encryption key (KEK) supplied by the cluster key command before
being stored in the database directory. The key or passphrase that
derives the key must be supplied from the terminal or stored in a
- trusted key store, such as key vault software, hardware security module.
+ trusted key store, such as key vault software or a hardware security
+ module.
</para>
<para>
@@ -81,17 +85,22 @@ initdb -D dbname --cluster-key-command='ckey_passphrase.sh'
<varname>cluster_key_command</varname> command will be executed
and the cluster key retrieved. The data encryption keys in the
<filename>pg_cryptokeys</filename> directory will then be decrypted
- using the supplied key and integrity-checked to ensure it
- matches the initdb-supplied key. If this check fails, the
- server will refuse to start.
+ using the supplied key and integrity-checked to ensure it matches the
+ initdb-supplied key. (If this check fails, the server will refuse
+ to start.) The cluster encryption key will then be removed from
+ system memory. The decrypted data encryption keys will remain in
+ shared memory until the server is stopped.
</para>
<para>
- The data encryption keys are randomly generated and can be 128, 192,
- or 256-bits in length. They are encrypted by the key encryption key
- (KEK) using Advanced Encryption Standard (<acronym>AES256</acronym>)
- encryption in Key Wrap Padded Mode, which also provides KEK
- authentication.
+ The data encryption keys are randomly generated and can be
+ 128, 192, or 256-bits in length. They are encrypted by the
+ key encryption key (KEK) using Advanced Encryption Standard
+ (<acronym>AES256</acronym>) encryption in Key Wrap Padded
+ Mode, which also provides KEK authentication; see <ulink
+ url="https://tools.ietf.org/html/rfc5649">RFC 5649</ulink>. While
+ 128-bit encryption is sufficient for most sites, 256-bit encryption
+ is thought to be more immune to future quantum cryptographic attacks.
</para>
</sect1>
</chapter>
diff --git a/doc/src/sgml/ref/allfiles.sgml b/doc/src/sgml/ref/allfiles.sgml
index 4e9504e11b..92bad3150c 100644
--- a/doc/src/sgml/ref/allfiles.sgml
+++ b/doc/src/sgml/ref/allfiles.sgml
@@ -189,7 +189,6 @@ Complete list of usable sgml source files in this directory.
<!ENTITY values SYSTEM "values.sgml">
<!-- applications and utilities -->
-<!ENTITY pgalterckey SYSTEM "pg_alterckey.sgml">
<!ENTITY clusterdb SYSTEM "clusterdb.sgml">
<!ENTITY createdb SYSTEM "createdb.sgml">
<!ENTITY createuser SYSTEM "createuser.sgml">
@@ -197,6 +196,7 @@ Complete list of usable sgml source files in this directory.
<!ENTITY dropuser SYSTEM "dropuser.sgml">
<!ENTITY ecpgRef SYSTEM "ecpg-ref.sgml">
<!ENTITY initdb SYSTEM "initdb.sgml">
+<!ENTITY pgalterckey SYSTEM "pg_alterckey.sgml">
<!ENTITY pgarchivecleanup SYSTEM "pgarchivecleanup.sgml">
<!ENTITY pgBasebackup SYSTEM "pg_basebackup.sgml">
<!ENTITY pgbench SYSTEM "pgbench.sgml">
diff --git a/doc/src/sgml/ref/initdb.sgml b/doc/src/sgml/ref/initdb.sgml
index 25342d1c19..4596489146 100644
--- a/doc/src/sgml/ref/initdb.sgml
+++ b/doc/src/sgml/ref/initdb.sgml
@@ -242,7 +242,7 @@ PostgreSQL documentation
<listitem>
<para>
Specifies the number of bits for the file encryption keys. The
- default is 128 bits.
+ value values are 128 (the default), 192, and 256.
</para>
</listitem>
</varlistentry>
diff --git a/doc/src/sgml/ref/pg_alterckey.sgml b/doc/src/sgml/ref/pg_alterckey.sgml
index f80946dcc6..867c439b8e 100644
--- a/doc/src/sgml/ref/pg_alterckey.sgml
+++ b/doc/src/sgml/ref/pg_alterckey.sgml
@@ -78,14 +78,14 @@ PostgreSQL documentation
</para>
<para>
- Technically, <command>pg_alterckey</command> changes the key
- encryption key (<acronym>KEK</acronym>) which encrypts the data
- encryption keys; it does not change the data encryption keys. It does
- this by decrypting each data encryption key using the <replaceable
+ <command>pg_alterckey</command> changes the key encryption key
+ (<acronym>KEK</acronym>) which encrypts the data encryption keys;
+ it does not change the data encryption keys. It does this by
+ decrypting each data encryption key using the <replaceable
class="parameter">old_cluster_key_command</replaceable>,
re-encrypting it using the <replaceable
- class="parameter">new_cluster_key_command</replaceable>, and
- then writes the result back to the cluster directory.
+ class="parameter">new_cluster_key_command</replaceable>, and then
+ writes the result back to the cluster directory.
</para>
<para>
@@ -95,13 +95,26 @@ PostgreSQL documentation
arguments to specify retrieval of the old or new key.
</para>
+ <para>
+ <command>pg_alterckey</command> manages data encryption keys,
+ which are critical to allowing Postgres to access its decrypted
+ data. For this reason, it is very careful to preserve these
+ keys in most possible failure conditions, e.g., operating system
+ failure during cluster encryption key rotation.
+ </para>
+
<para>
When started, <command>pg_alterckey</command> repairs any files that
- remain from previous <command>pg_alterckey</command> failures before
- altering the cluster key. To perform only the repair task,
- use the <option>--repair</option> option. The server will not start
- if repair is needed, though a running server is unaffected by an
- unrepaired cluster key configuration.
+ remain from previous failures before altering the cluster encryption
+ key. During this repair phase, <command>pg_alterckey</command> will
+ either roll back the cluster key or roll forward the changes that
+ were previously requested. The server will not start if repair is
+ needed, though a running server is unaffected by an unrepaired cluster
+ key configuration. Therefore, if <command>pg_alterckey</command>
+ fails for any reason, it is recommended you run the command with
+ <option>--repair</option> to simply roll back or forward any previous
+ changes. This will report if it rolled the cluster key back or forward,
+ and then run the command again to change the cluster key if needed.
</para>
<para>
diff --git a/src/bin/pg_alterckey/pg_alterckey.c b/src/bin/pg_alterckey/pg_alterckey.c
index 6a809037b8..50e168306a 100644
--- a/src/bin/pg_alterckey/pg_alterckey.c
+++ b/src/bin/pg_alterckey/pg_alterckey.c
@@ -325,7 +325,7 @@ create_lockfile(void)
if (repair_mode)
printf("old lock file removed\n");
- /*
+ /* ----------
* pid is no longer running, so remove the lock file.
* This is not 100% safe from concurrent access, e.g.:
*
@@ -343,6 +343,7 @@ create_lockfile(void)
* even more error-prone, especially since this might happen
* on server start. Many PG tools seem to have problems with
* concurrent access.
+ * ----------
*/
unlink(pid_path);
@@ -380,6 +381,7 @@ create_lockfile(void)
}
/*
+ * ----------
* recover_failure
*
* A previous pg_alterckey might have failed, so it might need recovery.
@@ -406,6 +408,7 @@ create_lockfile(void)
* remove old and new X X X
*
* We don't handle the abnormal cases, just report an error.
+ * ----------
*/
static void
recover_failure(void)
On Mon, Jan 18, 2021 at 05:47:34PM -0500, Tom Kincaid wrote:
I met with Bruce and Stephen this afternoon to discuss the feedback
we received so far (prior to Robert's note which I haven't fully
digested yet)
on this patch.Here is what we plan to do:
1) Bruce is going to gather all the details from the Wiki and build a
README for the TDE Key Management patch. In addition, it will include
details about the implementation, the data structures involved and the
locks that are taken and general technical implementation approach.
...
Could we get feedback if this feels like enough to get this patch
(which will include just the Key Management portion of TDE) to a state
where it can be reviewed and assuming the review issues are resolved
with consensus be committed?
Attached is an updated patch that has the requested changes:
* broken into seven parts
* test script converted from shell to Perl
* added README for every new directory
* moved text from wiki to READMEs where appropriate
* included Robert's suggestions, including the ability to add
future non-AES crypto methods
* fixes for pg_alterckey PGDATA arg processing
The patch is attached, and is also here:
https://github.com/postgres/postgres/compare/master...bmomjian:key.patch
Questions:
* What changes do people want to this patch set?
* Do we want it applied, even though it might need to be hidden for PG
14?
* If not, how do people build on this patch? Using the commitfest
links or github URL?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
3-common.diff.gzapplication/gzipDownload
��`�common.diff��<�s�6�?K��
K���W
'�������g;m:i� EBk�dy�h����b<d�i��3���D�������:�gl� �O������`sk`
F���h���t�i��k��-�
�
��l�~����
��A�5�y��
�C��/����#����~v��e���g����?�i� �`��`���:[�o����d�
��g������� ���f0s�kbFS��������:�}����d����� ������7X���+A�
�W|����?�}���r�)�kz��U��
��S1���E���[ l���'�j6 �$v��4� lc�V
B��x����g�����^01,��C��Ns�Y-���z�C�m���J�Q%��!�$��X!2�iw?�gf�P�*Fc�a��@�7I,#6G.��y��@u�} ���k�w|um�����������`�Pd"fMMo��<&8^�������n�h3���~���u����������/���mu���-[����hsm�����5
���>����:��}��@�{���[�����dm�;0�}�Y���
$��%������~x�P�L�s� �C��L
,�����og�A���@�=���
�[o?_�
�s��g��K���.��+~=���S ���Z�=q"@j�D�O(�J�;/����
� B2�D�f�;O9p���X45Cx
�aH^0�L������9����z��5���|s�������$U-(��C�����?��?������ {�~���t}�����������7~hG�g���~���U���w�j����'3{� |�D���3������]2u��������'�*;�����U�uo�h
2�
�~�[�[xL28��5�w#~���lu��@|������������|�|�+f�@��O�;z�fnmo��c! =�_���u��O!#��
�����o������������,�~�� }��<��{#�����Qq��4g�x��D)�=?�
��4fM�%�;�0 ���
�� �.{����3�Xv�I��?|�ry��po����D"TE9�����?�87f��OO.�O^�r^��J�k5�����Vc�e�`�>��V��@�k��%+����I��������q
:�$����<NB��������dO
��o�&h� ������5
4=������
��
��W`R;l��t���=�N��Y��������|z+`�!����!�5qx,���E���7s����s
8��f���U���8
�����A�������f�����"m�O�o�L
&�!�
O��0��CD�?��_~|a�s��_�
]\lN����?L�� ����D������`Q�et�"D�_�f����~uA��kJ����$ �O���(�X��U�Z�Uv"5
��������9����������������������h��Z��a�Y4i6��`�U
���y~��$�I0��� �.;�8�������T�V
5���@�fc��0����Y�A�}
�i�
,��h�g'u��q�q3�m��a�D^���:qs@(����@@�U*���u��o���o���_,��f�=,B|�H�������W�{1g��O��K����"�C�*������e!!�8��U�1��
'����
+;"�tf��E<(23�OGf�
I7E�����+��y�}���kG�i�s�4X�7�N_V5���k��� ��eXPZ�s�]�����?�i�O��ISl������:�w'��8�0a���Scb�����
�E��k�n{�g���������Hj����N�h��� ����5�YqF#��E�]�T
��4�.�1B�O��9��e!����sI]P����*�:
^���2=YfQ�-g�`]���\!��c�
:�]B�:W��
�U�{�N���f'�8�����]s�`��/���w
��W-$����1c?�'�'���w>1��Ku��OMv#,�*��y
C��g�b��yi����qt��,
;��}
�`g�������1v�f�f
��y���s/�� ����D�].
�P1�
gf�����'1B��7|�������|w�;���
�X��%�P���$)4�Zu9�AFK]��
�6���EM9��G��u��
RR�D�������TI�������/Nc����;�X9��i��,���P�{���E<&����K�����6p<0�'~���(D���
jU
N���$1O�����t^�L/��HAp���/�N4zaVs=�r
�������h����
�p���:�x~S�V
�M������#�`�����48�?�H�EuK�U���5H�����s�����8A��s=B���]���a.q��V��.8�����Lr��jF
N���%4��p"����� L.=Eq��3 +x�Td�l�
0������������!I ��% �x=�����k3��p���Th@Q���q%��zH��*���q
�Bv��� -(hd!#���"� ��������4
iL��D>���|�+^�}_����O�����E]��}� �z���'y�<b�?dK55�
������y�������[r���
����K+���`�9OW������f6����M�+�Y��|o&����&����1�=�������-��h_� )�l1��,�P��H���Q
��
�������j��Cj�Z6������%��z1s��g;P9����
A�o�r%��3��fD�E=���������,��2�i0�j~ NW�$���`O S���E|�=�X��1� k�8��`
3�p�
�� @���8��{>_'9�L���q���� ����&�U������*�%, ���Q�-��t8���.���69s{��=k���\02��GGN��7���E���xVR���-d���q+�����8
�V�H�M8��V��=[#���=������M����jn�
�����f�'��gB+����9�S
�=��W
nl�;
��0��M`t���V�}�[�_���|�G��)�����q�D_�F`�������r"
�n`*���F����s�n�6�CF���{Z��mR����C�Y�Y���;������-nU�g����Va�JPj�G�m���9YH�=~�,D�?�X' �^
�����$V2H��(���
#�
G�����#�D)���t�%��H�
��������V���
�!�}y
s&>8hd'I����W;s&z���y��i���p����@X�x�xKJ
d���#+4
��z����������QY
�
�~US��m�:����
^��g�Z]�+�����G���kN"����>�=0~<�=3v��N�L�>�������DR�
e����V
���N��+���M��~IXUlPi
�k�+����xTge
(�e�&
l�:���&6��w�D��4�
cnjF����/�v ��J�8�I�> >sIW���
Vm6���Z��7[��*
��`���E
lU���`U�P�y�s�P-��q�2��_$E��!
!���$��@��J�MM�J
+w
�������]�
�kY�|����h}����z�|e�v�og~�[4�9�IS}V;k�#��S�c�����QU�W�o���1�
9:f�9��Yf
�]�� Z1��
���L�N
�S�I��p!��[V����1���^�y�xN��C���
��})1������O&���,����m���O���a<�U7��������!����M #�Z\g$�8��/4�����-/J��
ym�>O�
:�7���������q|q��
���`Hc9]�<�
�s�=
�>Xj0��3��d�L/�@?[���F���%ss&}�,��Bi�D1��\?��1
���t�_"CaH�``�U6?���~���D�Z2�.�4����0J��;V
Q R�\���
�m���:����C�EX��w(z�}����������,?�T�M�G"�1����C�
N��v�^jwfc�����JO��'o���������
����������:�7
���_) o�u�����!>�
f� ;n��61������IY"��[2��+��K#�`�1�p�IF�J�Ta|���N�e�7T�J��
J��c�-�G�8q3N1��q".���J�]tQ"�
����
(@�!�F+ �%�:=
N�0�J\S^��
o�D\8���1��/!�m�������x*\��!���*[C�@����i
�D-'�T�6NT-R)�KJ9�g1J��'��wm���F�
�x���G�ea��Y�p�?n���������' l�)�*,��A$I%i&r
%Y��y������e�J��A!`(,��3D0/'���6^N(Z�ORJ'w:�=5M�P�]�����Br#7���4���,DBZ��/.rr����,u����qpK��z ����iNSp3��>�nr
����{HT����$�T��Y3����Hv#�C&s��dl
D���0[��^,��NY�(���KP��a��*1�)���){]!�t:����"��&�w�J��V$*y�
%U����9/�\v�J��`�k����o�����
��WBJ���X�X������^\BoY��3�����Mk*�%1?Q�u������V _����)��
H�Dz�|�� �����?[�w�����@c�Z �,FU�
Q)xI�kX0��T����C�9��^`�BF"��I������p>~��@&ym.e��(��8QZ�t9}�K�-�I��n�.���"��yd��o����b������^"x ����d����h� y����B��1V
I�52�Ki���#�Ri�"�n��V�t��"~����"j���^
��Eo��X^B�]���2�W��X���
Db
�
����4;0P�������)�.�����>���?��s�D�%�6'���L]
��(��[n%���j}�g+h>�2$��Q�3WPnG�
�������uiYSF��� �bK
�����FRq|�^~&Y��b
RSP��L������P �E�)��T��00���)h�.�O}��c'��
"r��G0�XQ6��+0
D����!��vL������g���E�Z{�k�?Zg�;�$h!���O N6$�����3����
V5(6��%�����
"+���P`R�2IR1�
E�
��J��0/���Yy�����mL��� 4�@��Euu�R��W��Q�3��c������k��X:���/-�w���*�9$�^���i72�����w�����������%���j��^ppx���
��n ����?�~K/����tQ����
�%i�E?!�j,�����uq�@
bR�\Gc�Q���T~z+R�c �K!���Lw���=�;
5���������i��%(J�po&%:����i�~��)Y�/�B���������U��(��XN�@����P�r����n��R �����x��f�4�.�Q�L�x��
D�6����2� �ac��z�T���i���)��R�L�
��Znm�|-Rn�Nx
5EpE��x��ycP�����<�6�X���������C���=H�*:.��=��W���L�@�:�x��J���_5�R=s��('T��y��b$������Cr����D���%����'=R
�`yr|������.w]�E��g#B%�����y
=
<���j�h@�����2
#�Q�2���������H����(� ��0��1'YiY�J1��b�a��
�
�)F,1K8��V�5�
�z{�-J�� V������dm��G��&�"|ijiK�"�b�,+2!��{~�S���(�6%�6�J�
R�/�\���gNN����\���i[���������>�� _��bFlKh�s
�|
�gr^0#@���
��.o6���_%������T�`�a ��O�V�>� �+I���:/������^���\�3H����BR4�Z������WnO�XM;�oV�2"U0�*�i��E���M�=
�s�N8�H
� �����X�W���W�Z{wu�"D@)w�!3C
��5w�T*$a���8���}�9�Hw���|������ywV�D��1��%��!���A�7����0d���s ��A��q� :A
`�R�P�[E";�D��4��
D1���
�>�`�����i�B�^���T�VIl����V(0�rr��l�� w��^���A?�P./��i$G���8HI}��I�k���Q��
[��b�/I����[�>L<�)%�ID�����#��L���5�s���W!Pq�+�U�jW���L� ���G�����NC��V
� ��
F
�����v\��~h�/�9��Z^�
�����$�a���9�:|�.��R�>�Tk'��]�8?�UN�
����gK@�V
�x+
! ���e�� ?,xz����.%m\!�����+�i���$�NbP����`����>�O/H�
�
�%�"][F
���l����]��1�t�]�8����{LU|��/\]� 8�D=�2�7Iw�-
�|�����0P�K����s~�pu��������,��+���H���� F���ec��s�U����vP��bC��-�`{
�@' �y"B]�~��A
1�?j��8^T���z��G��q�����G��qy��n�4
����D1o?�
� j�30��%�z^�'�+�K1�9g��H�|l
��"t���
��!�=yU�����*��M�{1^R��Y�
�\66.������l�s�t��}���}��2U����y�
�S�=��
��w��[
�����HXKU�I�[���,��P\������K
��Cbe��&1�����H�>�kRJ�j
n���_]���:H_~%�=<G��v`-��z6r���U�������oo#Q���i�.<�����EX�
���q�Sm�z����f��_{��h#7�����r�����]���7�f/OY[T�
�
}l�P�7�]��7��XGd�D�S� �q}�"���#+�CaL�6+03���{���^�P>.�kc@�X��
[~���#���K�r�k~pW��n��m:h�R(
��K5�*�aiK��tH�5
�(Z�X���8Y3�@����;�F}2T T����e����)��%,s�I(����paAj��@�����M���S�E�B�X,��u�X��`�
�]S� �~�G��1���5s7u��h]��
+��ZX���Q��J^
���I���~!��B��So�%
���{y�X��0�J�
b;OL���KU~�������.�.�DJD�ml�s�H�@ ���a
b#�,3��\��B���(LDpC�Td����C*
��YW?&K��$�;�;I��!�$���>S�%mc�A;w#�������R�����lk�ZhH=�L&3�?*��#�Z��y
a#������j����;�ZG��~,q�'��mS<�
[����j���|}#��X�U3��E��l��������X{��}a�FF�d���� d"D�y��A�w��Io_���^&�~���U� _17M�K./i�������U�Z
rI�"���Z��Q����}&�P9[�i.<?X�����+��ci��
�2"x��j�HJO���R(����N�6���93!�6G�*<?�Ua��W*���VA���#�oS�}��6����FrN����q�:�WN�`[�Q�����Ui&
1u�|HTa�L[���P����&EIZ��a�3PIJ���g7�����&
�b �^��T+���VYu���*$ �)HD��K\��Hf�8-��(}�
��]�>��,�{���x�E���B�>����JM������K��K[�'��
,"F�j��:7��`�)��:-#T4
$��#
�
^H,���W���\�O��JCS�v<��mL�#23%�����U�����@� ���S*=NHC�[n��X�&�40��J�h���&������C��2
< ���:��� �.DaE2�Iy�X�
����Fj���vE&d��x@������� 4���� �q�����Z�����ZP�3������$�mx�.����j��{��f3o�a�W�_&�,� Y��Ow�?����w�4��fF�I���/���C��"��x�ur)F�T([a�@����2�����mC�G�dO���Ak��0{2*��+���r�nZ��G�^*Y$
Kb�;��������T�F��
�y?�"��W
t, q�V.��5�0m�P�[�U:=�~2?� ����<t�R6�ohJ������:7�3�
�&
V1C�r�Fkt�/T����`0������Z���r�6�:�%��W\�3��k����xabS��
5��i��|�P���G�L��
�t~����������}���X/`N��O)�*#O��}k�
�$E����S8�+���?>=N������q�8_K"�g���,C�T�����k���
���yIAH��a���l
��<��~;�:�������� ��
y����� ��T�$~��F�5�a�TeUl�}��i�C
����9�<fG�
�'�?��u���g��c�Z������S�a^�@�49.�$��S�"������h�g�Z���D�v�g��:ZF8��������
/�%����(���B�!�(�}���8�(�&�'
U(�I
sG����/+�]b��|����>��e/�b�/��
��r�
������?�#����0��_��~!��*
����@<��n{������o�^��4�L����������
|kv�8���n7��bI��&�4>��������|���x7�=�I�;[�8�U��)�l'���y�r=���RL�A�>g��S����]BT���5`�����c�yqX��
������V�O�|�(x�oq�0
("�]`�/�'8���{���cJKBq�g��w���~���
��Gs�n
"Y>�G�����O���
a����C`F<��}kT]&`��i�Ljx��J�v7��?�������x��������w1cy�qhC[tx�-a����x
��V��PT�i~��Q��O�nb
��Y`e�4f��^e�v�OE�$�1���h�B����""�Gz$M��>�1��U|����/�-�`Pp�q7jr#�?��u�2
��y��\?��s<� mc�5�)��
S`3�eKu�.��byg�� S
����5-bin.diff.gzapplication/gzipDownload
��`�bin.diff��<iw�F���_�a�6e��!��E����(��M���@��
�5���V����I;
��{�8�Guw�U]���.�d�
���ng�7���&��fRs��
�Y_3��
���u��yD�v{��#�v[�>0{�'?2
Z���9����
������S�=�R'�>�/�iw4�����^�O�~��=�&�bF�G~{s|w�� db9$�3����ba����Fc����
|���[>��,�
�I�I��!���O�Do�������0Q���)�7�������N���s�p�� �.�-^���1���p
�L������gS�f���4A�J��(��uz �2 D����s��wm��4�pq�nza�k��pa� ����{,|�v�{
�h-�=Z��B�,��['
I-;C��e��q�� ���h)��9~�55�Q8w���`�/�z��:'^/^"���gf���&�`~�}���u@�9uf����n�XL����Hz���f�����mZ�)i4fVHhk�
OVvo]�{B�f�����v�����
�;�����^��U��"�V��G��v��]R�_��@�!����D��� )�r[���e[Ah�lq��Z
���0�����hO7�<�P�k�
4
;�
�q�����cV�{��M'�>��~�D� I���zG�U�9��gS�� �
��ApX��O
FV�$��Vj���d5�����/���]/�gM�a%��nnD�&��
kj{��a��Cm�"����LK8�������� 8����U7�v�K��o93"�� �,j[��l��� $9$� ��##HDb[�=DUf�QH�����`�v�L����=�m�Bn�).�1a!1O�q�i�`�]�i
���7�*�u���"(��N�T���O��F�
���5+�.)I�qO���^���.V�<y-��:�|����w
lJ$�dN,�DYg��jGL�y����}t|6�:C$�x&U�n�)���Sf���
��g�;����kIb�v
j�
Y�D����l���h�r���
�����n7eO�s
/�<ul���`���*^B�X
�
��)�@"��OF�����������5xr����O�����8�������QF�
�
�=��.��=�UP48���3�����*�N�2���:.p]�;����=Kq���9$
��8��b[��Q�� ����
0�
��b���Z<�v��������
���uFj�UV�"��@A��"C����;����f{w�CY���5!I
TIX� �%z�zX_���?�p��
vXlT�)����u��Dgf$N4y�o�+��p^����'
�(�2&hT�
��U
b|�A���a�qf���Y�D�VH�x�
�����&�����x
�����
��#m�FiyB�[�����M��6�Y��:m�I������G
���������7bC��GkuyR�*��I��H2
�Z3�����������b�
K���rr��]vDW3�k��f
&��
W����ZW�G�J
z��;lj�?lE���A$pa���t�#&nC �����ZN
�S�!X`
]���#���=-����Mgn��
�9��\�T�i�\Q�I��L"������a��`/���k�OM��!��N�%c���npH<�������$)�; ��!����~��<
;��K<��*��!����VF, �,`)2aq������7�(��7���Z��9I�SV�ND$|������Tk!� ��vz9�~�0�r���*FM
��\��B�
`k<X���M���|bL"��i
�P�}r�
9c0���p`��eK���)��k�W�~Q�<%��p�%�)���h(�S��B
qJP)��5Fk������I������i�
�}�5�
�3]K�����@�]�
i�o����?y��dB
�/��
� ��;)6^�DJ ���1�@�0�8�<�2�%'��TC��<���:���
����
j
�3I��
hCKeQ�H�%�j8 �M�| ��q%���P{?�JC��@L#����P�Y��
}sg3Yf�l�����#�+��4;�����lN�I������{�4�b1L����ks��_�n���ZxC���7�6`�<��}>��T��D=��,�����h�a��$�1
�]65�n�9������1��X�*0��,�f�6�x�r�&#�������a������i���N(8;��?�^���!�}�l 3���-��1�
�a3�D
��x�B�61�P���-�v �A��:SkO��cL�z$�X���=��@P�M�
6iF1���X��"2w��L�)8�{��
�;���(��m��u�9�d��s
^��{ X+��o4�������I��|��
4Gq'��4%��
���)
�c�A�N]���z����\��Z��
'�`�)����E��
�3)d�:���F�;�G��}2���Gs�+��O��a����%�n
T
�~{y������^_����������
�0D���@�
)F_$v�
(������v��G8R�f��xk�b�46�U0.����0�p F���G���d1����`H��%4k[�/kB������ju�=�&�4������"4M���At�zI*
�DA�%���[j�)���
2��`�`���qCk�?�^��r��Q�_�:�6�����,v(��"pP}p-s�o��I4�"A�.���������[����z\U��`��kk+p<��pZ|�3tq����vc
>��{�Y�{�
�MH���Y@@�W��D
hJ���2!a���Lw��Y�mC��|��e�r`������c��e������9z�q�b?�w��:{��:
@��
i]�$-{?d��H%�� �Nd������g� ��� ��Ht
�6����'�g�I ���O�����F}I@ Z�I
&� B*h
]�L�s�����dr���)��t�4�S���tLL��S'��`y�,xQQ����zL�3r
K��^`
��
�JE�[�2W�
X����`-����>����z ?�K�I�|\/j`�O�4 ����8
I�;�i�< �
s
]
"����%K
����'/3�A
u����@�Dx�����.I��ud�r
X<��-_�B����` �<T+o^�\^�]��]���^\��HU�FX��Q#�_��H���@�l���?��Y1ME��%�j�N~��
92�.���}_���w���8���K�L�[���G�7i`y'���*�G�[��S*�
&�D3�$}Y�Ca�\t�"��N���W����~���z_��
����p��tx�%
��U�
���3D�P%�BV|�
U��FDVK���|��
���C)���l��p�?
�RU+� ���}�X�� O���
��$��U ��p\Y��%o�0�N�H0�0�#O��_\��`0;B����<� ���
�U�*a�>�2�d�
���wu���a#`�E6��8<9��c�
"`#�yDW���z:�|}|�N�h�:
)�x�]�cE��R���X9�
���r���W� /`�
_�^�J��V��*�����#m�f���+��
g�5�������X�H�
������N�������D�'�Z!���
�*�+���'+��>���:�>EV��e%aaKK��|���7�YX��Y�b�x�M��s�3��0@��A�3 nzQX���uRZ{uv�����Y]�Z|�K
vvrws��,�G~���Z���r��3)�����i���t ��D���3�<s[�Z����P���%� p�!����N���cL+�/��-.��%'K����6��Lj�|0��"|����y%hp�������)js �<3�?r
�>]� 9|E\|�j O�����6dR����������P�p�7�or��7���
BO�,�e9@��/��
+,����3�+$�j��e8�]��t�pnSWd��u!�������zI�\���Dx`����/n��=
:��v'O��F��n��w��G�e
q{��S����
U�������{k��'�.��
$1�r61��E�J�d�0|���F�=}"�FF���x
[>�������?��9�5��
����S`��������*I�,�N�l�K ��R�� �@��X�U9���� ����@r
�X���G���xz�d�J��<3+��3�#3�
��
+���b1��'��l�G�U����������oA�]Q{����S�y5M�O
� H��Ir�
��8.?d9���2���r#�tFqx� H�Fi�G�g��(�SE.��
�
|��
�|���G��tZ�n~�\'"���� ��`�N���u�$D#Ha��.��G�����<�
�������
��s�
C��"�P��,^����U����rj��)�����sN��R�
1(�v_�"�!��H���
Y8B�B��p9�����V�
e�B�e���,�����y�w�7���s�������w����ph�������;��
��!ih��6\�P�����nq����"[ x���Z��!_����r�Z[�w��H�������{"S�\9��l�@z/��
���-�ewU��y���R}s�j_���I��R������A3��qB����U-X���v|��] �tyv
�On���L�.|���^X`|��^-��V�Q�IM
��wc�U� ��zQ
���
rx(-[�����[4+�X[[�T�mX�x�j�x��4�`�
� �S�y�C�`�B�`&��!i�:c�:�
Iy_�� �Sd��Z�y���s$������icF�.;e�j(�[��+�Q�����|�F�� �T���Y�$�����mo���p2��<���3nW���5 ��#V)�Hy9%�A���!����X�y�,R0�Ix���B�4Sl�1�,��h�N\�����R�����
`������
�9����i�S�i����=�?}��$��v
:S,�WZ�6]q����|���\���� ��\���c�[���$f�� ��<i��Y�������p����
����
�J
��t%��)��
�1�\N�
��b5U�Y.m)h'�R��������6���b�5����/�hT�A�u��H�
M
��
���-�MG�w�X�M��t�n6G��t���
�K��A��*���
^��Y.]�t�W��\M�,(]���
�V��L)w3����b���������xgLN���1>9�\��\D.�r��X�?�@��
��1�^:���x��������hOs��B���K��R��i��������Y�/t�X.
��L4)���>
�&m�Q��
N���a
�%Uxy������r�a0������Kue<��+S���6aJy�;���s�Gb���uh��1�������#��(�7
��7�j��1��W7�g���h|����n�G)k����xz����dN}�t�j��5!
/Axx��N
��y�����
��U���|��g���0�:����7�w?��
]�^/��#(���
���A�/t�&���x���;���e�3�K����n�0�E���)�����O�
�������U�]���K��u#����j����#_VJp
'$��|�F <P�%@����T���68Pf�yM t�.
�!&@N��ST���^5���_��b\�]�WX�\��lD������f�|NK:h ���}�|=X��uR�!������\�k�j�g%$Q2�St|�N��
B��9���'�p�X
�:p_�3 7��l��L�g#�������$���)���,^
A�r�����=�P`�f�R��@�J@�I`��*���1���go����6F��<zz���V4����<��e��d�R�=P�?V���:.$�����|�R��1(��Z�����?�L�������3�'�&� ��]�M�5HB���|�X<)��Sqy��������
��
���xuR�KG��O��W
[:w�>�<�C`������1����2����Y��2k���v�
���_�=��� �k�O�H�UP�������
D�O��$����C�Pr����d�I)���,N;�m�4�
(i�D
W��������3w��C9!z[�]`$$V������~����~b%%o��$s�N�wO��0��
����C�4�����
��G
`���%��5�B���A}�o��*��VB��lD�� b/�7���Ex�h�i�epW:�I�#�7KNg��18XX�W��
��h0����JA�e"����:�,i��0�����v8�"p@DfN����(��-u�z�w�-2:w@��bI���#2���G^�|�l\�� �Uo���prs1
L�Mqx��4����������
� �\i1�
$h�c��F[��89!��`��],��������y� ��|h/������&}n
me���u���u��1��0��
���7
��Cb�����!cj�-�
� $[�K�]�
��
���o�-/�L�`��FCE��5���a�w���0*~���%�H .v��N�{Vo�[��{n���z������
cq��F��V���
��
��Gly�:
��U���F!��0�H��|��&�r�~���%��� ��(n<��e
$�6�P��+�o�S���N#|iT�`n���Z����uKkM�����6�j9t�jl�lf��y3Y-��)"�'��$�v8�&�5��o�J���������O�5���R��Z�/\c�y������7�����(-�w���<uNl�\$�0��q
�*� �������k�\���l�T!z����ZK���i���u�]��h��"�J��HQ0^���b+�EH{ <������7����<>��4v
����" ���\7����s���� t�����"�
St�0����.���;l(�=v�! b�i������j|�%�o)
?����W�S8y��7�{�
F�k�%��
N�������L�g����D�rC�m�;2p�����/d�
n��K��^��F�'-vF��]Cg��?^����q%�
b� 9/�M?�t�sC���Q���r���������guB��bFswN��
f�EY��1�j��e�j���5��Lm� '�F6�M��y�Yn�����>��ks�j�`o���/sQ7A��L���xD���"�������c�_���X8���[_��I:\ J"P}���0��(
��n��a���9+m���c�]����Q������gy7��o������X��>��
����
���FXha
'��h:���x��n)��* A�T���6�zR�*k�i��������
�t>�X�������bp�<�e8���R�����������T���Im�]����c������TQ�u���V�i����G�T^��q��c�w����dx�Ng_���pv}1�������4g�:K
�uO�v'��1���Jjd8}a����VP�
�9��8��J�\;�y�V��p���_���]O�����W��A�������v����)�uoK����3����8B���k)"!
3�
*=�v|�3�|KT
�����E���E����D2A� '!R��,��[ ]����Dt�_2r O~���1��1���t���n!����I�P9���Qs�9Q8
�MM:n������qP�S���I6Y��-D)e���F�jV��'PT�1��l��7��P>��+n�2}��h^(`�;��v�) ��I"u�y�������PS�����v
���MF%L*j])w��RRk���"}�5��8�����
���i�w��O��\|��b�#�k�W���G�����<�X]�M�,)"���#
�:8�sWx����8�$� ����I�`C�C��1�I���L6����(.fE���U\��k0��
���
�Dt@�����I���o�T����
T��f���<e��M]J
�$�C���)���A��K�`�}�@T>X��"��9��q
���yXC<�g�a]��k>�o�}L8�0�A %�%,2����������
�4��Q�;*{����Ym
�Z���u�u�H8�?�.�<n���z�7��=�!�Z$Pr;�{��U��z?I��c
d��@��
�5���E����>�(�������~���������@���x�� 6�����0.8U�P���\��
c��[I����X�6-@�`G��P$G
=�
�: ��m�|��V���~�����N�\#@�5^.�7
�9t�^_*L%s
��ld)�v}u6�`���A�F�::&O�o��+��U������������w
>G��=���^�O*2
�#F��
G�Z*�`�
��� W.~f/0fK!�wfML� ~��1Co�����-�x���y*�==�
[L����L9� ������;r���K%�s�����p�| �2$�������\��\�X(Y����F����� ��V�<&�#�eB�)�����d�&
(�6���x��d�����(����q�d��P
�����k*<����y_3��}NE���]�����
�� 8�
+����.4T�B����PH�����_�/�0�������`���F]m���\�F�
"�s�=���y
<���H����Z�wy��
�� �~
�4 ��5�� ����D�8RWU;dDc���`�i/���f`d��c�:�7��
����;�h6���*�^���
a�[yUr��k6��U��j3��:n4�Vg+����@H�f
����+Pn�����pD��{-*5@D>����!��/������/E�s��>���$5A�����D��uJ�P���'�d����E��t{&|\�3�P�a���v��t����j����e�NE\YE3K2��������K�����z���|gCc�RT�3�RXA�I��v8B�Q���C# ��}������J,�:D�D���
deUGm���=K|��I��<S�)��Q�F����g�Zc>�XZ�k����k)W�$�2���)���
���6�T�1�5�H��o�r�W�����`$��k��B���Y���
-���{�PnQ���?�7�8�H���Xcv�*��#����$�|��'�����-����,��*�����
�(F�`��qNW�a�'l���p��f�j�cBaCQ�b���E�\+��d� I�&��c��0�@��x�����������P%
����/������B����� .=�Y�c��R��[z�7� ���)5 ��C\�ryU&M��Y���zT�6�qZsfj[�S�J�V
)�5�T� ~e����������KQF�H�z0���rfb�@��� ��t�&0��X����b)W;�r�X��Q�.$��z
~r�S�S~�
��4:��
0?�ve2�:�W�
��JD��q��W0�x��x����������#���I$����!�K���}s�T����������b|v>����_�]�1[�� �������N��p����3/�X�
�S�.��u�*/��V��/^�O�,�����6-test.diff.gzapplication/gzipDownload
��`�test.diff���k�n�u� ~���JE*"V\�"�
�,��.�-����
B���e�Ig&-
�����}hSbJ$e���s����V\�
�6��~���>]s�T�����������.��P���}Z���7_���O�/>��)� ���)���S>������97?�������O��� ���>���_~����O����~� }J���� J!�O1�0� ��������O~9��=������������>}�����7�������4��������/��������� ���o�����?�����������{��[���?�����w>~��;�5���_|�� ����������W_�O���7�[���o����������/c�������&�u�O���-�������i���������[�������?�j���~�o�/�7���������'��~� ����?��}�����7���O���b�����W}���W������������~��������_���1 ��|��~�������Y��W����7��~��� ���/�O���������}����W�����������)�_=����/>a�<?�|���W{���X�����������~�� |���b}�����}L�����i��o��_�|���������V~��6�[Z�)|�!��5���y_�d�����_|�~,T?}��
�'����Y��?����W�����/���_����_�����_���/>���������O>��O��_���������|���o��i�e?����K������?������_����_���o~9��_������/>�?>}��W��h��������������������~���7?��?���� ~��_}������]��{����l�?������K�����Yd�����������������~�i���O�4�����O_����?�'�����<��_�u�������o��O�E�����_���t��O���������������}���������_������G?�v����o~������Z�~�Rz�y_��n���������t<;
��q�y�����~����������~������o�����?����������{���7{�?��+��_�� ����������|!�U��?,
������
����?�?��|���W�����������������cw�W�d�?�o~u���7c�����g
]��������7���G��
,���s���v�c��� ���R��Jg��x����?��O����7��
��?�����g������8p���r���� ��_��y;�����_��������A��|�������%G������K~��q
��/������� ���g?��O?��Ow���?��|�G�Ic��G?�����O��_�����?�
���;�����i���?�����fi�����YG�!��< ��MW(�����]V|�z�S�x����F.s�\'3�]g�os�W�����\��v�<���}]����u�W�1�w���n5O��_��G�����*�������������?��?�����O�����_�������������������_�>_|�����J|��z�������8�|�� ��
���c��4����cj���Q�L��q���y��fw��g�/�i�1����{�V��x��+m
8���M|���*w�u�����y^��e�
F ���c����;�9�����g�P�������~�1o
e%�4T^0/Vx���
��_�~���<�����Z|G�����+���q���oVh���1{ ��[B��s?����i��������^��a���p�+Gb�����;��g������,����+�|
��e���P[���
��9z��R���/a���
kJ|q
��x".a�D�V����]_�Lw��a�JX=����W{
oj!>�����-Z��=�V9����S.7�
7o�y�86�b��t?o*�����g�O�w����M�x2�����������}�
�
K,/���������
��J�������moI/k����gy^��zq�7���
c���~�{�k�v����^�g���D����p��J�WJdk���:�5��g�w����?�u��n~6�'�T��V��n^�~y�]��+������ak]�]<G������C���/6�
���Qk|����u�;��c��U�����e�b���}?���%��q��7��9��e�O
w]�k���\��)�
;vu��ie�Zg'WXwK�Ua��k1<��J�W������\�8�c�THOY��?�v��m�Z���:
�{��^��
������v�
�]�
�
%�*����x���+�Y{g�����^�h,�[����z��aq��f�;6N���fc�����2���=��Cd[Sd
93�??������V,k�Z������7X���+b��N\�c�0G3=O����{;���
x��������/��p*Kh�|A���(�������2;v�j��k��2�5������\������m���<���������x�iN���,P��y����=������z���s�gW�����'�����y�+���
s6w�X���8��L�����y
����+�� �`�'_lN���aTq8��V}j;�R-������o��uqX���0��
�;G���<<Z[��sVxq
�����
Lkv����f�49r��R<
���90����p����.N�,���o�V-oY-`�9# ����w�Zb���8
E���p���
����8�'Y_�4j�pB����y�����X�����E� �����n��wz�Ky���q����\��M�1��<���7��s�����������]�*2�%�����c�X��
��
fa'���m]
�U���w�oc���O~o
6
��w�����������q�*^����_��N�������j�(
����~1� ��'J�
Q�v�?��o����?����{�|��px��yk��@��GH�
����[3����X�:n�^��6���������u����;�/.�����S �u��U�;`�������K�����p�{�q?2�
�W08������
����)a�\����p�}��F��kv�?6:��Rf��o�M,
@s�Wf���^�-Yc��lD��W�T�3p�jL��p��n\w��
�:V��)l;�|���J}[�tix���SXA�K�1~�+
�f�������+X)�Y ���W��Y��
�8����Q��\Y�����) ;����gl�?3����`Y+����Vh�?��
����_!��93���%cc�G��U
��
��n�3sb�s�6|�����<��1�=q��P�$�������#���8�1����|s�2�e���p���
7`�?�|px
��g���'�������]x5�tP0w�������;G{��s�/�
������t� =��/�w�X�{�r��`�������R/1�|�xr��O���M�vw�t���5���]m!�����=/@q
BR�����/��ig>����]@��Y��<�?08T�����}��$V��`�|���h�� N,��l�������J{m��@ ,Ww�W������S���c���{�����+�:�v�Vc �}��_���y��`��
w;�!��z�4K[���F���s��c
���������uo�pn����f ����:
�-�.���k�g.6�J��=6� ��{�yv�G�(Vqc �F�3Sp�`H�7��q���W��b��x�\�[YD�OM���q���w�;b>o��G^�%�
�&������_^
�(��s���.�Z�h��4+�ox�5�p#����������l6���$�����q��qXo��4�,���P��fOI7����(
�@��/qIG�����JqL�s�#���vcZ�s���X�k�Qq#��;]�
��y�������`(�@�����!Dk ����DG
�E0���_� ���`�r�f�M?=���e�:
�`��nb!=1[Z���On>f.sU��xvV�+��i����#�/��U��c�@
���/�m�PH���
�W����;N�}�W��������`_u�4`��,��91/�
l
p�<�
���i5�r�9���� ^+x��]�U��m��_�3���c���+�8!�m��WL
s���G�5�g
N�8�5���[&0��D�����N�[
������ew���A~:�
� �o�b B����������A�teFW��v=
7�F���<
@��z���!U��9�W_��1X���cg� ��K�I��<B@�
wnx�����8���Ed�R�
l]����
w��O��\#��x�
Z�Il_
��+���+��!$�t����R�
�]];D$�O��b ��R�<
�3�%/������
��� �
PqX�@�M�����c��<1{�|Xa�A��z�
n��4��I�yC
�KH���&r��r%.��}���L���u'*-�����(�l��u0��:9�'�%X��7�G����&��B�L4��
�]m�jI����>�S
��5����3
��tsF
v
?���m �t���K�4���
D�>r
�N@p�B�v��
L�������@�o�v
�
�
K�V���j5���n,,~P�#�4�R
GC��!�Ak���tp
N��2!�M
�����N-c�o`'�{��YN���W.\y ������;�����_�W!X
X�> 0��$�
����-�<�b7�.������J�d�}`a��P��Vo�+��eea8���q� ��E(7P�!#����j�����
F��L<���nB�?�����_7'��9���z&��w���
���Bq���9�
u�
�>/��ko�*D��� �j��s��>ML(�����4�D�X���?�<'���<���X���7�D�����G8��_����
zxy2��I��D@'�x��8H����}w�M����y�?yQ�!��u��q`I3��� ���0�3���F�E.N'be���f���0�����%�%�(:[����|-@�������9o�17A��|l
�3L�����U.6g���p@
N���_��i/��=./X�ONN��1W�y3ci�,J����i9�-,����m�4�x<�ES�����������A�\�j����d8� ����;��t&�8`������c���������C2����e�y��uY=<�s��s
XbA �r��"A(����[vz�]_��H' �}�T�q^^B��S��X�b3��������x�7���L����@�k���'Q�
�w���O�4O6�C�Obl�n�e�p�{���t�4|�y��?���D�
�o����l|��M��Xn�y����Q�/�%� �Ol�x��7�'��*�������e��������K����� ���G�������oM�<��������^
�n0��l�5!��Z�*:�E�IU�Y#��?Iq(A�,������&x�����o��K(z �{]�~��t� �&�$���Sy�f`���5/��U=���AR��������}�BL�
���q.8��5]�Q���k��}�1���,6*�l�^�_�w
Qa��n�\��G1E���K����y�f������
���o��
R^����8Y�o�W#xz��&�
_D�
�L����Ng� ���;eq�s�����~9/c���
���e������en�9�)|#���j����F�$A��6���F�7�����TwkP+gH�� :�hY(�E��X�mb� N��7`�l��JgY��O���0j��$r!�9�����������n�j������&a?.b`�g���r&:_��
n8� �R"� :�`�� k
I�*
Dh�����"��5�=�
G�9_"�� ����
�X�N1�7�����
�������N�J����x�i��}oD���`�r��^+>����J�T�
7p�{^��Kd5y�g]�g����m��f���
~�2�B
�S�:B�p�swz/�
M*��<{K�2j-.N��.+���Ih.�2?��k\����� l��������'��'q~�'�
�QS�/������{�7
A�
�_N��.@1��
����M������&��i�0�
:]H��F��
C� ����#�3D���g����
�F��!���N�^��#wN��e%4����w6-b�����7�9#��� �%�e�k���c�����x>�#�p1W���YU
��6�����C03� apj����S��
A�
Oi\ 8x���]
W�0����
4�*p=q��H�?P\���
ab��-�_���Wx����}/�_�������Dl>w��J�
0k1�W��2��1����rh9��������e���O��=������
s��1&X4�<�������������j�~XA�����k����0�m���y�6�`?��������B��
H6�d�������@�N���������8��7�zB��M
qfo
������mA�k�����R��Y?������]�9�����Y�P!��L
>��V�>X�9��D���l[�U��u5�:@����|6�J���"T����2X������m�
�~A�U�9�
���X�����;���F���I�G0NI=X��l�n�Z���f�K,�*�7����_�qj\��_����[��7 # T�'���9��t�y��h�
����
4)`�JX<�H�kw�
��e?���r�����
X
�)Y�*�z�+Y
@�� F<W��#1o�/B�^���1^8`� hi�Xa�L�����������D
�����Tbr�8�k�Y�m�B���;�
�
~/6��\N�^��r���{�
,��(r9�l-���K@kbsv"pg���`�r ���B0���):N ��C��M�N
~(@��
"���s��h�7MB��k���4+�1{~V�!���``���` �����j�Y��b����������i�
�����g6�����8�] K��P�NXk�8q������b))��
y?v����u�5j�o�;�����<
�B�H��#Y��F���.6��
$�]�X��wWsE<�w�Fj�+��Ot�p6����Vo �#N�u��1fN�<>:z��a�X�w
a�Ex��?ZJ n���������.[+\��?�}���
[�s��3E�CK�{[��v��h�o�
�hA�����X/ ��>�����
�jZS��
�@��P����'c����= !a�����y����x�f�pQ�#���W� P7��������'�`������d�b��S���U��Q�2.Q%���e�vcMqs
��/��&$
H��f�M�q'�>�&����s��sb'�g{��0��0�|
;w�*<��tm��O�?����Fe��/�,��I[��!���u�l��K6.K,0��g�� �G��9���Yg�H {��k��e^���@�J
�Ot��|�����
/;�� �H�A�
����D��������_b����e������ ��DPA���x����T��5�FF�����(A�{c7�n�������_W����'k�"V����x�i��,3��Mn
�u[��&����:�uL"u�}��6�o
s��/
!
f��D����Y�.�\��x�n�<�;q�� 6-��f���N�QAI
�vw����x�C��(@��Y�YuDfy1�������������i������i1�
6�|��/ZOi��N�
����J�u[����wk�F������a,H�F8���&��v���`���l"1�.����w
=�g���"HU��M���y�
@P-����X8�����E
!p��y������`)GSTi?yv���8�T_N3�
���Fu�X��@[����w��M�wM������l
�H���=�����]�y5����~��������x��f�_}�{3/��Ol�
o
�gO���/�o�o@������wa9��6LK����v@�YT p��rNj~���u�
�k������6� ^����f���P� ����b
6a�At�}yQ{Y�n1y�����]V�@������W��
`2�
�
�>���#y�M$�� ��
��?��=1gXo[
G�,��}`{�v/�� +�pK�d�����������**��m���p��kr���T*�����A���c�������_�� �m�">0q�1�~�)v
�}-��2q_�[��h���3�iY� x:�4-J$��'o�i��@�����b�FS��tB\T"���������AU;�� (�Y�W
S��lD<&�0"����06oy���
��#�2�5�.&�`y� �e]��uq ��k�]�
N�n��V�^`��jF�����+�S��n����I
5��zA�'�����&Z�Y�8���
��Y�
�I��V5���{|��f��m�
���`�y
Z������["��~>r��/�@��Xl��4����V�l��2>/�V���
���M\����6���x5�U"�t$JZ�����,�}DBV�_@ N(VB!��1�
��������`
����l�
�I�0�~���H��m�
�k3�n��%]�} o�)n#g�����K�����M����n�
���N�k��M�����)H��9f���Lu���}l���U�
�(,Y��`��+g��"\z8� �m���G�VS �s�zOvj��nke��U@�
����
�K��O�&+�a���n
���g��d+(�����4�a�H2��>������c��D���N��
?
��a�_"��.�pRm@��r\��-�e�7w��@
����[p�����n��76�� RC���l��@��A�.��������MP
���q�#M���UJL�B���3p���6`
A���6��X���L�i
�Z��W��[`���������
I��G�m-`oW��+�7�M�F
�;�.��
Q���B��W���;�W�= ��
X��c�"�-�<���v���e���^�����
N����#@�h�X�+�FG��f������;v�!���������8
h����`7�j�x]�M�}�O�>}�e�����$$��p�ybs/3�D[��m&JNE������t�(
F
F�����,`�3b6��/�-�����?�
�@v>&ON�%� {/���
�d>f�������\����D;ln��~l�e��h
fG*�:�����RzE[�^��b_�]q�-
���I4��8G���Q�z�f=��DzaNSj�����k[&�Gh���
���bN��q�
_�7�����&pw7W�4���� ��os��s����~q
v-���-�w<H=���kl���v��������u�����.�na+8��],{���s�,�����SH
�f��~����^��k�%���q�c�n���A�����-�/v�����7n��������Q�i.�
�5������P���(�US����X5�ur��x<���������pD��.A(�����������:�p�D�;�k�K5\��f�X0�������)_����dZ2�o�O:��T�� ��
�v���f�*��ww�l�|�B<��X���Dp{�9����������6ep��
q����q�~�nC��y��������
�u�Fo���X|�S:
,'�=� �
�%y|�k '���'�JV�������o�����-`�
/��E�V�
�� ��m�i�S��V�8��/
�{��b��BR|�^�Z�Wb
.�e;H�N3�� ���v���7��
TN����0kEL������m
C=���x��
�������0��F��
�.�x4��[�|�E�����
5��c��y�����f��m!�+���)���kd"_�h7���(��ON�m�8 ��@X&�A\��!�� H���Z�4X����
4�����n�+�Sj�>��h�����Gv�j�=�
X6=c}���H���~=�5
b.G*V� �?�V"1'�r7�,����u�/�����2l��������D�
���1����@�L��L�������\�|Qx�S`�YS���DG��6/S���a�J�7���w�s�o�B:�ty�m�]g�8y������}u�r�z��Z��e���p�~��8d��w���A`g��
��l�,�!��L;�� [�g0��Yt+��s��6�q�����~����Y���#C��'D@W�}��BtJ�p,��b�Y��p�(�C���D����a��4rt���
���������.�)��L-�� ���m�4�u�zI����.{�tk��>l��DL�a�������j
m"����]���1�N0�0��!&v��\���y��U
q\g��}
��m
���V��-v
q,Z�����3��p�������F��8���.�V,2Z q���������G
ae ��o��,�u��n�sr��
�RX���L�
q]Yw�t����
�8�lo�d�����V>��`NOV.�)S�p�^zr:�J�oNN�Hu{��J'�J��b~��q.R/��/f�C�?�g>��:�_��f�U���2&j�����5{{��\�SL�/�$ &�x��c�:kX?��������5?�bu�������M,�)<km!��y��7w�}�����
��������v��s'v
�5Mx��%��8��J����kWnF�t ��rp/N�)�7�I�g�0�Q��M��]7�`���#�m
!��^1r�{�_*3Xq�z�x=[��;���%��5I
�d?�S��/��F� J'S�}�v����<�iL�q�n�*���_&�6sM�����B.�e�7���
���l#�-|
������f�6���4J
+&�L���N�:$�F%���r�=��If,@�8-{�8��>Qp�i���$��l��r&��w2
�\a5� s��g���.�5\EPB?����{���Y��&m!aGy���t� 9�`���
�+���<�p����9���=c��qB]L�o�� W���w����|�K
�1$��/6����q�
3���F:8"���r���p`��m�6�DJ����"��0[@��u�c6|�k
\�����h����o &�m�N�� [�,�:
�,���:P��F��4#������X���s�
0bw5�1���aF9ele�Q�q��6+��<:E��-|���
�F����e
�����5x���|
�� p���x�sf��� �������=p}y-���q+�����"����
���q
,q8��?�n�R���f�eG�J�(��X'*���a��c�7����V���Y9,)1�#_�����6�+noZ�NV��m����&�$��"��.
��'
��cn��
��x^e{��R�p�[��zlM�oi����1.n�
�����.9�)?�/N��
��,�=�[��k�����i��t-<6���8�&4���X(���M�^x�72���+����D`��
K���c�-b-�8�?�������.tp?�6�r�p�E�ji�$t��W0�@vj��2�1�
N5q�U�.�kZ<�+ g�sL6_�����n�k�A�'�@X�`�}Zq��=v�9���
���a� W,��[����3
����W�P�E��l�D����aGXF{-/����=�DrD%v[�4F��h��S#���
g�n[r��E��X`{�o6�X�{��j}X
,z�3�Ax ��E��C�t�`��w�1
^Gq9�da<���.�3�0V��0�����t��i�����:��n������g>=q���
�3�q���a
x��^�R^�x��\��%��� ���cX �]u���
�L�6�F���7jb�FN�=��y�?��n�(.U�A������g\�\
���6�9�U5�l+��iw,,:r��p#�|�|�|+���=q�rN@���2�Y��!�����y7�����7��@��������af
@n��c�J��'m;i�}y
�E\x�2vb=�D5i�c���c�A/�-"�����jB=�}�x:��
,V�z������8���"V��or+��
XZ�{�[[�� �VP��r^�iJ��'���]�/�G�b�
���
R���ojD�4��D�Wr�����\���1&�w��q���0�������n�gN�����F�8�
�Ka�
(����8�)X)h�q�1
<
�eA�J�>;oF�-{��r�d�j��,y�����^NO� @���q�e�xL����KV��V��N���J�hxk�,���r�Z���w�U��h���l�N����������s��
����:��r~s��`�^k�|�s����r�
{~m�^N��[��3
�9
�X�uN�s9xn
OY��EV���F��;�����$I�.�@�5q�gcy�c�*�����s�:8c�Cd;��
!n��H������9��$D�B���P`�Y�I��WLL�\��q��a{��#6��2�o�&}n&&�-�*PL���aw�&�
�t-�2
��Q��D�"BQ���an0A�QN<�������� 9�&��U.{�n���p���.&�`B;d
�3�
�
�}�j9M�5:�.
�e���^���N�_la�
�y��
*��=�� Z��7�C�<N�\b����=.Xw �@�1����W��~��H�t:dA���T�vqw�u"2���;��$h������o�D
�B�k��>iXH�>�d��y����
�D�������
��l�!����i`�/�3@��y0�\�-��� a��/v
���,�lv<C���6���6���wv$�z�������h���%�����,
�7��Z�n��}%�������2WXd� ����x9mb\x_]?T�5Xz��cy��J�V��wG<
~\Z)� ��K;3�<�=���ll���0�}
s9� $�����1zA~����Vm(�ewr���2c��S�x����~��S���.�.�>��AUx��`s��m���jb��D
����k��lt����;l��������*L�^" ��q��w�N���
We��\��b���"���q[2���aXl�O���`,{UD������Y�{r�����9,�lE;}�
wV n�}���o� ��1�wIX��s2�uh��:����b`fK��:�W��j+��<�� �.���7�7$z��\� ��
+q�\` � �� �)��:��{�Q+�_��[����4���lG�
��t����c>Mj��Qa�^�/`����k�|�|��1�4�V��'�9��-�'�d��RK�$Ej��!�6��?F#}o
�����@�������2���s��1K�H����
���]QK
�i���N0��L�
m�"[17���[k&N �n
��c��n�l0�Z��f�_��n^H��i��ZX!Pq���4�������w ~��(|`Dp9��T<wx��A(��z��X�5���Nr� �@@!g�0��LGcmp�����`��� �
��
�w�\�6��$���rh������dO&�
���
n��z'7�o���a�wn{��L+��W�
�{�����������u�Y����F0E��=��fr9������ux��+'�+.sf1/s��m�5F1c�v?N�v��������
��|��% ^�}8����aLI��!��Z��g�,�cg�]�W)S
��bW�
^"B;S3�M��r-7g;q1������|,��(��w4s���4�v�
����y[�I�saNOw�}����E|Xy��j�����d�����QI��t\��i�����vU�C^�j\<���,�qKv
_����*#�.�u��C�-�d���u,q�s`
���;��x
�m���t;W��&c
P��>�v��y#�s)z���y� ���N�?
�����������`���Y>j�]�����m������i��^�1/�3����5�����=�`s
���� !"�g4e���8�����z`����T�
#�+1'~��?
����!��aR
7���Z��9AX��
<)�x�,�G�GS"@{�q6
���)�E,�!�3���� 4���6[eg=X8����$�ca��>�� ��N�,!L��7����
;�m��y��
��v`xzq��Z�$\�y����=������z
{�6������,o�
�B��R�=��$�MN������8� ��� �Wu��������^�U�q�.�_
N����W,�!�����!�y&��
@�A8��X�ag�I�Y���RA+�;PmRr��$�A���$`\�0�e�&|�Mf E`"� �����E�x^�� ��0se�*����H�c��{0�2�W�xV�R�;:���R�b�?s
������
/�������3��QJ�X�w���'�kR��a�Wk��5lv�!�� �q�����C��!~
xO�#/��Rdy�x99X���"��
Yo�J������{��l�q�C���
�:dT�(Go��X�|z�����txB��(�"gt:����v��������p��N8Y�
N$�N�bY ������/�o��v9-��Y��-�D,��S�T`����B���
��$�������_����������_3L� `
h �.�E�j�/�{bJ�
����p�/�:�2v�cJ�E������`v{U��k������������D
�&�s.����G�yH ��S
,�0[��6���s�H����J|rF �v�:�I����}W�J0���4(w4�ZF����5�b�
�������-��������%���9
uq�������iv_�^
Lt���<������Kwb�Cj&���P�u�mU���������u��!�c`*�Cbf���mt;�� ���+���q�����rV��
����p��B���V�^{}�Y3�40e���������/g��)
�c��T��w&[!@�|![
�y��4b���|��q�������0�����,����Y�[�����������8����
����,��)���2
S/�����
����\�>�0
�.K�1MsB��@n� �)!
=�����HZ��y
��L�l�n������c��
#l
�5z6���E<�p���,��sheI=��\����z����&u����
rkDe)_rZO��I�\@lXh.���mABzG�#p�2
{FiDl#7��i>
K.�)��]�q�YXe�?~)����m�s�����������Sz�P�
�`�C�B�!]���I�8�����G
*����bf�MD�
Y���f���u8rV"�C-y@[����X�/7MX��A
f��t�u
X�v����
��v\D
I.9��qC��p��Z�[2v�T�I�7�y���g��1,i_\��
=~��d��l
��U���s����<��B���YW�$�g�T
�\�\����eJ��ng��D��&!`�*����a�81��
��b�� ��+����w�H+g2�������@y�H�%���g %�5�M�:H���>���l���W��D,����� 0�R��AvG.(!k>e��#`_'���-Q-PH��ns����'����!�S-x�
�^�+l(p4`>�
w� ������
�g>q���
����A����%7��3R�-�|A��&�Gl�mH�l��������e�
)�@��L�����]�&4g^���V��p^|y��}����q?�b��^
>�r��?���<%�?<U.&��%���
�l-��|c�C�!�����\]2�Pj8
�`�2���l���f��J��&N�`+��m�����xZ�#�@U��B���i%+�`�K���N����<?W�����{���n�gE��p$�^\��d)�}YI��{�C���8o�;_� ��]-��
%��,��
�IT_�|s���L��{Q�_�q��K�EZ��o����m;�����
^x3���c�
G�z��
��Y�K��@%SS�S\?�w�*��L�# �L�i
q�M���8pr68�J��c�������z[�I�-��A��!�k4���E�u�Q�?m�%v_�����D�"
30],k<�i
Bg��9���h���h��K���])[���pN!8b)���7�G'�x�k������6l�����*�+�|Z���b�V����4�2
���� ��
��~���~���da���D.�}�FU����*5�f��[�hV���f#F�T�!G��)�F���]��gXNJ�K6n�C���]j�v��
o������Y>�b�T,Xv�`�ML�|���t��}�:q>
�j79.G�h�
:6vO6����<��!�|9���
��P������N{5�V�^���$�m��$�8Q�
� �Z�&(�2-�����
ZYv����KFL�^e��#)���x�����4��Ke0��0'���V�/�~�n�4W��!��_=�eDF�Iy�Jo�h����u������ib5������
u���D�� f��N)����4s]
�$�2��2kg��������
�5�Q�7
���W<�F�3e�V�@��x�g�pAr������m�M�a+I`����*���
,����?��d
�$UE�d�� ����(\��<�\[��g�7`Y�'��
(�0���ij�L�LE<�-
�t��"l2���rI�O���B�����H���(�"n�����&,�P�7^�9���i6<������k�\���6�t�mi ��U������T���n��X���>�c.|K���kZ����Y1'��<R��H ���~���K�K9���:,��
:��=���~���aY�=���brm��
,0>L{1�d����1���]o'
e�.�3t@,�`l���^.�N@�,��#�/!���/��-����>9E
�o.�>����=�*R�;��N�]v����? �sw"m_�Dl�D�k��,��
- p��nr�Y��m�S9J��q~C\x���*�TY9\+���6
$�r�%R��j�2���K]=����w+�����1�@�*��J~6���1>T!�}a��\[vF�=�����Wd�/�)$"U0����3$�t�
XCl�i�L�mMOB/��s��u�;�_�1O�d���W�[���n@�Kx��J �a
�[���e���k
mw�D�y+=|�z'�� �ig���&�^9��
K�g,�n��(zbH���kB���fi,,Zru�}&x��C�bs��/\}��%Y��XW�D-SY ����X�m��w�`���n'>����v��3z���5i�o��2��Z� )��j Q�/9���,��
��;&I�*�}6��
.KN��4�7Go�
�lK
�����VG����uu��+�*�P��N�~�U �l��l��7�������v���s)2��n��t�q��R�i���ZP10���6��-�6v�MA��TU�BR�^����5�����UE�������wj����J�k����n:0b���A���
���49��-����
Z n���!K~ �.I���\(sy��`��Yu��q0�����M�6x�{��X�2�c��H�k{���l{�!���
t�o������#������d���T���3�m��;�� �)VK�*����=���
�c
k��� ��[<�,��c���Z6����a��b�'�=��C���"�ds{e}I����I7�������$n����K��8O�7���QG��I�j�4ES�X7kW�X���^/��c��K�������������z���lr�����W��E����r������[��P�A��*�����R��<����2
1�X�����
u^NHJa%,Oi �tz
��5K��@��p���
B6�s��
�:��.����
��`�AHB5z��w�8_�q���X
P
�b�+��-�
n��
���|^����_�Mo�z@+=�|�.�R����b!���!c^��o�l��MB��D�|2F�&��� �
P��u'p�2Lb
}M��j�gV���&� O
���6
�qr��
m������/Y4�X?�n ��M�U�:b���'���$��N9�9K;4O�N l��+�h�z:@�^�P���Cl��f���������(]w{
Y@p��I
���J��N����V \Q�@�������s4lO���D���8dg
�������!hs'W f������B�w��6��{��{�e4_r��!����=0
$M@���
�$M\����
@��T���[*x�K��(��\��1�"��8��!�0q���RX�X�HJT�L�R�D��e��/ 'U#��X
��UF�f�9�r'9���WF�����`oe��'O�kV1����|�y���g�y���^J�<�eG�
�6���|��V���Qg���l���E� �'G/���TY��l��ho:�f��[A��wt��
��j���-�E���:�.���\h�$����yJ�. ��D�cjpN"����>I
�d�6�,[wN����j��$:�!
1O�/�����LT8�e�5��^��1U"�b��
0;��M�����h�+aV0�&�b��<%e����p���6�#��NR��
^KP�� 4�z��Y
n�H��K,���nF����%=@�H!6����Ql����6Cw��;���3��+���>�`ed|!�RI0D�B���Vzn��
� ;#�3u\�"���Nh����N#���II���"G��x)��-�gwq������?�@�$b���^JTmYe8�\g�r$�o��d���kHY���R0�����M��;%]2�}� Le����ny<�j�
��9
"�d�FhbG;�����f�2 �O�����R X�&��=��s&��[[�<�!p���qh�:C���%�
�u�5(���V�RmVn^WJ�����iW1m�N��qWi9�������:�5��� iN[�D�.X��J����\kGk���W�p~9
��Iz%Y�LB7v��gZ7g�9a��s8����%����C�F#��+��S��P\=e�^5
$�%��j�x�9�N��y;�y�PRS��e8��'
���
��b
��.����e7��%@�M~���6����
b|13��&����� �Z��)����g�V��q�&iom�y���'^���wL/�K���?/�s1?��V�w�
����4I%��S�����o�j��r��G9 y>C�8E��XuK��
�cT���kJ�l����wq$�o~�6�&��y��c��+�����Fq
�[fn���
*�)<bY���`���l������<�X$
7����E�������BV������r�
l�����Eeq
5�����U�9�U� �*rx8 ���#rq�']��n��8����?��m��"�zlj�N-��� �`"f
E'�{�������QW�_;������v�
����
_S�����`���T��to���Mpp5�}G*����B5&
��liz����
~�T������W�����C=�1����r������8��=��4� &�=Lp��G1��PR$��`�����
�Q��f
;\���!IP���C$��(�q�SM�M�a�-�
���#D�9*9
_G`�
����3k���4SrhH������NO8H(�&!��W�
�
����i�>]h�����)��P�_�m��!&my�"��C k�N�V#F�#��1��`���n�W�v|��U|i�(�0ySq����W�
I/|dhG�����^z6lYQ�K��|@"{z�s����v�o��B�zG]
������XH�����`#�lE����a=Yg�7!4u�
JT
���px[�L��u�|q%�k���
CB���0K��5�����=�)����a� �x �Y��0�}���h
��L*�e�.��%�)Xy����Q���fG
e�f�a�^�g��^
p{v��|i~~�f_�Q%�z�v��R}d� j ��g#�"��=��U]�V�I�gN+��
�$�R��� .%j��a �����D
������#�����_�Vd�
�M%P��6�l�
�������TL�nyl�4[���7����s����_N)���}�U��^
6�W'��F�����&[?3Xk}
?}��
�d#�S (6E� H{m����k��{G��SY��}Xh����l�rln{Q���+���=2����q ���F��S�_rSu�^����&MUp��*ki#�E>�.;E��5�����j,,�@d��������Pb����%�
{�_|����Q^��/G����?f���U�l`W�������v���V��C�E��e�+���>f��U��P8?
d�v����I�f
/��q�k�r&�scK� �l��(|�6V��
��s����I���������y�q��Z=]�o�A�
�S��j��.�SUM0�/HT���
�_&_�3N�^���C
����_l�JQ�WV\i��X�
���)�Z�� �
Y��dv�bJEP����;�b�~N9U�b��
����5c����2Tg�b$~��]^��s������
�JW���*�����O��[U���\3��s��
+�v���N���I5:>��Xd�V�L�:$��/����!Y����VMPE�'� ^^z;i}���"�E4� �������%��^�,w;��D��H���j�J���y<��%)�U�����OV�L��A���t�|�p*�>���R�JX���{GdxN&W
�}�x��DW�6���aO~
�(-���v�AP��z�� �'�"�)�G���6
:�����Yd5�B,�<��zw��)�dG�����+x
G��
��L���EA�
.��C�)����{�l����QO���%��=��)�h������,qPk~Y�� P�P�}��$�O�&#�!�e����ewofg����-�:�e�:��������D���/P�]l��2����=,�x3C�h�N� ���krH�%������d�&�"��%�BW���e��n��W�a�Y�
����3���
�,�� ����A��
AUl���#
����}�pt}� �'����d�0��C�P����������nQ��!����(��C�Wl��p ������������sa8�`
'�c��~�2�c�W`����M��{3?�}�v�W�`�efF�-�B�9�z��:l��M�z��z(1N��}�B\N���
�>��O6�}U9� vV�Ri���
g-(���55v���r�%i�W�<��9iie��-�J�NsQ�^q'�������p\����\^�T����Q�5`�oG5�����6l�mF���> T�� LSZ���*����6l���.��#����7�:�>I�j�X ���mL3
�M����5��g~j�=)A)���S���W, ��"
� �} �=����M���A�;���Om��RU�O%��MI������Q]S�\R[!�<�G��z?.�m{6�N�
r�J����r�����3�X/��1��a�ar@Y2�t=�a3Xo�K�B���r��d���.�Y�]���i�����|���$�S8��[�Q�i������$��>����G�����8��E�%���85���W_S�l~���%�|M,����pq(������)��m(�#�������k���^�D����I��5g��:�dW��s���Z
W_���=�v
Q������@_Nd�~"�����U#��Vv��Y��@�e�hO�m%4�X9H**{���XV�X|�����:��y���
��b�nZ�
|g�������X�H
'��jFW�FP
�d�-����1��S��U5���������}�O�pS�\�59��p����#� �)��9���BH�v���C�c���
� �d�^��h�����@
�Xz-g��$Vnv
.��X��1�A��8W/�vV�P�~8R#��-���
��<|��;h���=s�d������Tz`����M��MzR��Y�� �����X���dq�$����,D�#�39�����Q_�0�\���7\���c�'obH��I���`r���3�i�r��60eNs\��[hp�HjM��e��0w�EE�t(���������S5�D7*s�������q�w����l=g�Y�p� s[B"��j��1�G���:R��i"�������L��������a9���
Y
\���*&�
��&��!��z�]T<}plq�@���r;e���j��y�/Y��
�ce
n��!�2����6mA���9�%��������k|���N���I�(��
b:x��B�4D�7+X�����H�+G����V�p���!��U3�g{�����~����I`.�� �e2�4�
�A�c����g[m����5�
Up8G� ����S��o1&�)�cO�c��
�S�h�)N�-���i���(����V�� ����
��7*������H�x����:����)yaN�����
�E��������!�����V�B�pT.�-0��~�"^�����OV���&��>����0O�c��L��Xp]�PH���z&��C!F�o�l��D9*�����
I��R|����7hVI�m�u���eP�����U��.��8�a���SN�nU�
�z 7��z�X�e��\P8�^����+>T��@^�b�vNG��Q�g>��t%=Uw��7�U��
�e��2���(k��Z��6�e
^/K����""Wy�@�:LI'4�W�^���U� .�/g]� ��1�|�q�:5l�R������� D��^�G��� Yrpeu��#}&j^6�����0�uJ��R
%3M� �8� �VT|O��'�p&+R�a�����[�K����`�P�3��i� �&6TJ5�����������p&�V�ORQ��p�G����G���^^�E���;V����~��V#H�6�������F��87��aY�
4��X`�l����
� 3�k�_Vw��]?��`� Q����:
����
/G5e!v����9L�-�;��l����J"o9�����
�
���v{2���Sc�q�[
�l��}�
_I�t$�*s�����7s��i����1l����q��T7*��_P�
���<G3��L���DD��:e�S-cH�j����
oI<sS�gO�@#dkb�J��j
[�>��bM�����(!�-w��s`%�"����G��Y�9D�
��@q�b�k���e����"�\+���o��:�����2�������D�e�)&y;������M�{��8�Q_�%X��8#-���s���
����������J9g���1��,CE����2
�W�r$g �7P���A��a���G��~]S����� W�h5��|�`'����)9Nl>�����q��)/���<�FK��
l
�G_4,ef�t�M�8����ud���AZ&��������N����Z�s��p�5�A�w)o�@
�D����i��������1���2z<������!!V�� 9�������Q�
�GY�p�2�p)@b]Q[m�i�R��&
���o�f�h�����?�l%=��d!����mX�
��R�O<��7RmH����ja��It4�ITo��v��`��� ������[
���2�J_-�K6%�������%C)Yny�G���a.�������J����W��T�X�s
�
�M��Y
����_5�[�K=�����HIv�/���)�(��xN���o7��wP����]���FGQ��2u��j���hK
�����V�KG,f����mK[wuo���(�>I��Z���WT_D�K��`������+R_s,�a�W�oG$����9�YN��
��>E�����)� YgYEL�cBX�[���ga����C�K��fz?D�2yl?��u�P�d@���<�{��,��������,�%z����\���A���$���6����]�,����3�^C`��:����3�#���������0���E�*�;-��HI�����27U]���mj
J(�:h9��<I�nk���
_pK��
���B��+����Z~RN:��BC���R��u�J��.�%������)K
!V��NeS��UnB������R^���5���
��s�Q:B
��S����].s.�ZK�6��c�h��������[i�������d���-�rU�,V��Ig��=G
h*il���@��u!.����1��������8�\7*��%�>���U�[`�J�w��s��������
*����q?v������ ��L�h5��M�8�RC�e��o9���W
��l��m�I��43I�>K�* ��
T��<b������F��3f���ch�����t
��-������\���(�YG��o�t�}���O;�E�gq�I
T������&���b[9
��
��\�S}C��;%O�]�IHp�q�
kQqd[�����t/���&.s�G�So��2��P���X���t%%}�),���Q��0����������K���PbTH�tY��6R����4��wr`X*N;���p���J�V_���^U�)�jxg��m�hS�m�����{U��N:�^���v8�
��M.��
��m�)r���h�
����v\qb0q�J��P���R#��`_V��
����&n.�!�6M�:����Zy��$�x��Jn� r�o{m�H��u���V�N�Z������y�������Y]�
���y�0qr��6 :�"���
���h3���["������m������>S��+���d5S$g�9�8���sj��W�G��������o���YN8{'��d�2
LS`��
�����8��#�!0wus@u��
.>����m�eX�$xu�U�I����!�����
�D�����~W��pj`
�h��Yp�w��5��
"
�3l�K�h+_��� ������{L�-���B��5��5�40A���D�Bz�l��\��&F��
�T�ss���L����C�"8%u~�-�?c���Q���5�]�@�����/��m�*;a�
p
#Y��%�
r%���t�6T��)���n�n��y�6@����(_d�N� ��_��������������Y,��-��VH��5fq�[�xy���ui��=MB���#�������9��e��P��V F���Iu�����K�gJ�2�
����Z�<Ij��l��%���=��Y]j3/�r; T �����-���[:=��d�����xF��c��o�����a�����=��D>�f��S!1 �%��"���{�=j�)"� 'o��L
g��f`��,�
����u�����D�I`�+k����iT��3������h�iS��N�t����[6��*J��X�|��*
�&��:�z�JJ�~$Y�����2���_e�
�&�����\O)�������Pe<5��9�p(��
%8vj"����U�T��s���r�����\'������7}�
�f;9�piO�A��V�;p�Z��i8���7��M�����`iY_
)��*X�vYi�����v���O�_�bM%�#F�>b^�%]g�/{#�`L[P�l;�|����h r�O��Ld��+
������fa�3A���d1�
��p98��8��$�
?&
��2��Q���&$���y�Xjp,�d��=4 �c�~9����� ���]�� 1���o
������}���0�N\ND��7�
������ Nt�����*�w�J�-���|�/�������3tb���7f�Q�{�p���3�1kD �����Iq��YM�
�u�_��1��"��G���$�a�
����r,�������@�5�&{|_�H]GIzo#?@x
��w���fb��>_u��E��.�]Q��,|�2���t0.W�����$Lu�g
����oT���
>V�T��!
�=h8��
�3='�-�����Te&Vj�y�*)�m����85�}
1��D<r�n�k�3�Z?,�T�f���
���}
wJ�7����XJ
*�>[0�
���^��[@��pq�����h�j-A>��z6�:�"��:|�{rl�Ep�����U�H��6
�T�1�����!r���
%��,���=t�d+xy|�W#9�>��>�QD[x$/��tDK6��q�Sm9���� ��X:�����+v�~�r�\��I��t�T���&[+ �%%R��4��nm�l�
�����7��]�
�VI���`��
�����jM��S�6�3��[�B{�Ge����a!!�\�v�tY
�0����L���<t�NG��/��T.���M^���f`��9�P��
6+8Z��O]RtMU��:�l�q��(x�7�������{&�A�d��a�P������u|����l�����E�WO��
&�P���~���������c��?`@�� �&�
D�oL� II���8��B�E��dP��u�����"Z�
Lml��
���L�����
N��.R��u�5%���!u��P�= �E3^��P
S���M_r�
�X�l������������j�cq�Q����������(���gVX���}i������B������$�6
��d1
��
���Wo)W��@�,���}D
��r�
vl��Z�Yyo�&v���!{o���P��=$��L���L�N�����&5� ��)I��q�o����h���6)[�W(w��;��T�Ml_�L<K���=��<'�+����M^���&��-��x/gw�
��W��,�d�_�C�D��M��&X|>��;�K�
61m��p8E�&a�]��|��t�#S�v�����Z&�qw�u;����*��Mp��Py��0�F�R�c��H��+0�L�}��
�T�<����&�<�������m �B&=�U(uy���>
���+�!��2t������8��B����
�L��|�����f�^���i��,�(�h��td���"W�jZ���������{����
���w����f�L���pp����!,*H@1����0�l�f�}����v��>
���S����8L��-�Lz`�n�q�}
�5��y�h~Ov�(���7�p����b2�����
YK�����vB��w5��-Nz��
�q�����AXGkXuo
�v��s���#9j}�*�jB,�fw�;�Sp�t �Cpo��@*��v�z
��a���&Y1M���?����� ��]�3mY��1=b�������>s���8�aS�dX���A~����5���� �r����������\���&��]X#*-GJ1��
wj+
�;�i;K�|"2Q�0��T�3�����$?��O�k
�43I�eK��
�*/���>.6X��7��JJ/��t��$�m�/��Do��m������I28�� �^����5�����X�~�o�&�UXJ�Q�TM��;kaAj\��
:H|��v�e�e���~���
��"k\����_����pe�������'y������27�L
��qbOngw�EH��w
���S�$��~:��w�V��#�,��,'�!�����"p�W�����ew�e��e��C��a����!R����^U=��
J���m��7�������pY+&����G
�v� �9%��:
z����gB�u&����&$�|n5Gp�����r�E%��7E���3��o?�%9�}k�4��%�!�y6N|~�m����.s��G��q��1�����R�%n�|��Q)������a����t(�
��^�+�*J���B�xx�mr��r:��TET�>a_+��T��#{h���@�m�>����j� w��������XZ;Cg�w��p$<o�?
����.U^DG
y����L������� %�iD������N�e�-$�j�%xB���� ����-Y�
�.� XiJ���j���>@������Oe:�U)�zx^g}���q,5A'���.���M��acS���VnR<��|I�l��CTP/��y�`� �
R0�N@��C���L�/�0��E�'���i��=�N�)[%��24*��[���,}t-*>w�#�4L�*��
t�0P�!1'��M���'�j�&%B�K���wS�U5$�v������~�9N�����C��8�MH� k`��S��1d%Eo���
�Q�k:���R�ab
r�J��
#��~l�
�A���u��)��K�o]t;��d��>��>�K�y��Q*�������^��Q���2s
���H�Pd�&�{�
N�9�=_���}[�V������R3��
x�hX&��
r�t'�~w�X!��������h%�O
Nx6IK�.���|����:Eu��b��"���F>�x�ix���h�Y�xlD� ��������[;T\�����EL���2�%g?��p��C
5L��l��xZz��q����+��l �������$���a�<�l,whsm�����#�3��T���S�(�QD'��RH�^���
dlD2O]���8/����f[�����h���uK3A�
����2��I���|���~xs���b��0~���X���#�����
�
4�]
���;��A����v��
1�9��"x��bU`
��=������%��l,1 ������b���O�mD�g�F0��z
��V Q�*'+�7Hxe`f{?^D���E����P��
��@9������-U�X����
���f��%g�r�Fq�������2���g<3p6gu���U�-5V2�ul5�p����6RH�1�OY�!;�
��:����P�qAn�������r�3��R+&�l�.G~N��-RC����A��
�n����zY6A�P-������V4������}S�r�������a��"N�L�b�yU$ ��2Y���[q[e��� ��guf�'�TO���l��
i+��R_��� Lnt�p����$QB6g�����|$
?��aQRMgM���IW�-;P�(�,�H���f
�N�B|�&���Q��]^k��:�O�1�
q��p�$���2����
�����@���vs����R��5���9j$�3�982opy�
��� ��� �����"������Z����Df����B_�x��<v��l��
�����/��W&�/�3M`q�X
�#3u�Y��yZG�&�1i���S5 ��X�[���=��<������I��s7�����
�
�'��l� �7|��,*~��<������N�L1B7;U��|�N��e��e�d�2Jtbqk��<�?�Xib��E�����+(��w��|���c3 ��3��H5�����
���/uF����!'x0���jN�C1f��*m����Hs�dw�y����r<;$���
�^��
IM���f$�#����/k}9G[<���T){��\%*�s^�0�N�j��F�Z cE���n���U�E
!��u�~����]�IM��8<�^'
R�&�z����0�=��A$��v �ua��6So�� �m<���
"��"����_���!u:X����!��r2I�����Ju���*�
��������<����-�����`J�k*Hk^�r
K5��� 4�' o�t��[mc": ���,>�B��tD}�t69 ���������R]HT��p��O����L�X��8���R\�f�8E
3��B����-A&��+�*���V���6yQ@�����'�W�G|
?mg��c�����a�y| Q?0���A��%�o�3��"VI �R*��L�9\!?��>
�������j�A�y]&�������r�}��6�b.d��
��
�-�n�6?
�������dC2g������(��
��E:�����9�7���]��R
�J�,.�F�W���Y>�`@��3��c4e��ty���C�}O�����p�������63&KB ��v�;t�q��U5Dp`�� ��-�t���N���[s�����=�����5�������8^�<5a�}�z���<����m`P������0�_��O�Qa�_���u�N�����w
E����'�b�'����?�=U�~��������b v����������_�����&��<
�
^�C��J���W������� � �v4���
]���
�T�t�s��a{��9�����'{~
����0� ��
R�����Q��3��YF�[�����{���� �w[U{�gd��<�\�e%�[s�4�Er�����M0$��O7ae ����(�� ;���_�M��p< GY1�CC�
gW�=
��*�n�
�V�� B�Gp����0$�W>�y�
�V�nN.^]�7$Y���D������`��1��������,���n�]u�{
���Tz�����A��
U
�(r<��� *Y�U�@f�����l���� dcY�!����4� �F �QM�L� �����
�Z�lfe���@����rR���,�M�G}�`��)Z�\�� ���,h��{�-��\�������^6A�+aI�c*�3�
�k�!&��j���>2!��m����]�#n�k>�0��v�����F;/�Y_�BM��|�{{
#�p��cTl�
�g��~#�������>��:����x2;@X����+��6 dbj���.����G,
��2>�>��tU��n�8�����
��CNN����Qwj�d����I������U
���`T�
N�_�����q��xl�
�
��Q�D���N�,��9�n1�n���>�S(�
Q��\�:f�
�r�i����z���d��c{v�K�X
�6c��~.��D�����=G_�kOC�}G}�n�ChpIZ��hApT��.�S�W�&� T���C�'�����4�2?N�,*�d�
�"
�����G��}��Ni���8w���Q!�za1�_�9)+�v�5���f��T����7N��0v���t�O�_ge����&J�hJl�J%��:�Q�� `���q�O�)�y�������6�/n�r���J �e��lK^�0T1�:�w7K&�����UQVe��X)Q����m"N�%���H �'�, (xW)��9Qx�����t��I�B�i+��C\�,�<�iA����s�q�����
��bd�����H��p���E\6��L�w9p&F�U�K�(�nNL9/����D�,*�
T�H�v����\�*���5��@�
���������������$�N<)�<WK
L�h��=���}���h
`c�B[��&���&� :1k�����2��K��I����O]7xu�����m�W
�`�%�|�k�o�w>I��6��lK
KV��������� ��
��6
�cN
��mZ��BL�Kc >o[�#A���I�+p���W
�|�c�~�� �;��
�-eK�<��,��n�&����~�$�
x��,�V��[���s3��Suf�)���mI�S$G���U�+:V�Y>��Lf����f��7�����*��e���vX�x]���`Q���- ���2#�7Y3@D����4g8^~w2m�3��JKS��R9-���+��f�C��7��M���yl�R���J����,TP ���R�P�qgj������tg]b����5 L�;��;��l�p�M�e�']�/�=��Pd
u�Q�=����j*�p����rb��]�%1�u�v�%M<f�������/=�!��b6��=���h����69����i��[[Q���x�v���i�|zB4�����[������ M�!������n�rM2��ml���#�F`��;�������,��;N���eD��|\1��NRVH����
�:]r�<�,8rrR6���������[2Lg��E�K��
��s����r���o@�HL��!a�����}D�����~�$
��\8��q4�K:�eS�����*8<��]����������#���_Q�gJ��*y`k���ZT���7_��6����o���9�Va
��o��mn�>����3��
G������������N�����
�u!�
pK��q�6?�
M��gD8����w���
6}��V�]:*�8.�Vl����]i��8�S��>MfT,��dy���x�%���&�~���fi��o0������n�B��� �9��jI��-���@��8���5��-�����^>�,V^�
l]���������e��-����$���2���������W��+Kz�.��
5���i����=��f�CV�Q��~q���;��Hl}�Xk��6�����-�P
��;P���]Uv�*F��a�����_��d���y���L)7������7��fD4� ��0���a
�
Jy
��I����zY�_��$���~���9l���:�����c
%�4��{��Z9�;
L=�t��*�1�T>fg�^G���L��,��2@p��h��!�� �u|0�e4N��&]{u���q\N
���m�!����U���c�wP�(Bib�Z�sv-�������6=N��'�����e3l�����k�E��G���g%���-�����r�y*� h0��'i(Z��X+���>W�����r�8��>��c��>n��S<3�K7��I�&�? M����D����
HI���o�%���%
��Y��t�7�9A��wB.��
�#B
����N,uX�v,�������W"k5������j��(�Q����htyP�����0�]G���6^y�"x9����Mj����w�%F�~>����1��
xV>�`�9 �����E@
RTX4�
�^��<�c�D���`��L����t������3�R���qde�-I��tF��mo�.�Y=bWOW���S�X]��k��=��
M�<�!|t(F��%�g�
s��XI����
��se��A\]����
�u�uY\�,�1�|������0
-������>����0�B��3��L9J�������)(lAp���;��[$��-_�p�����g���5@�s���+E
�y��Q@�R��jo���P,Y�
��Y���#�
T}�B�K6KIcN@g5�X-�^%<�I�a5��F�(�
���Gc�J\���x
)���9���]�Y#�@
�`���e���:S{�*�%�+�N�%��T�w9U��FLF�O����X�mL 8������V@�ML������Q�0cJo\��$���*�w�Vn�����T�?��p?��Y��/��G�
?�������&pRR+=*��
N$B�����Np�$���;�n���YE`[i���_�8Kb�.���L\�����B�;���{�UV�IK�����r��sT�����l��}/�h�%���%�����N��@ �e�|�h8Y�[���|jIm�>�I
�<SP��W
��A
�"q^��iyx�m@�� �fK|{�w���E��3�I@$n
�a��)��@^
�-�����c�xp$��e�p��6s9A������?|E��^�k��c��/���%��S�b�`�=x�M���E�_L��>�����5^����l
���#3���.����B(�����'
X�S�6�
6)(
a����:����j�*��@����_
��
+����8lu��$��jx��������
��.�g�������XD.re n�1�S:_�S�e�K��UWg������:
%�q�f
��[�(�
���XA �����F5^i�l}��#EV�C}����{(A58� p�3[�r&o[���ra� A-������h����2=��
��{�`����*D&\a�a��XF�����G�8���~<�����C����?6bwUZ�
f�����9��Or��,�+x���3�.Q!wG�y{�[D�e����
b������
��j��:�
C������j�VD��� W�Ti7`��%m�
c���Z�*K.��pr�D����q�Wz���|�������.a�_+<{��kcwZP��������QE$z����c�*���:���k
KiO[sO�
��L�����+�7��
����nO����B��
48�jO���9�8���vT\�2I@�s�g
��������+�I����U y�����s�d�
F ]
!��iYl�8v�T~���^
���H��*Kjl���7W"J�S:�5�b^�%PU����4[����� ��
c�D������$w�r����3��,5�/A
�0�u�R�^NF�o`
�N��*������vR/�:�c&v���O���`��v|z�� +`��nR9��D��}��5��������jLiVW���v�`��n0m��Dv�u�R�
�� �~.-&K�|�-�[���b3����b�����|KY
[<�VRA8r
��iL3M,wU
=^
"[F�jH�����M�+9�|
xJ3o��b�XE���s� �k����������*��r���"5�8Z�d��jb��mx���wK�9x���,���d�R'�m�.�fLg�)�������1����|djrwG
�q������q:V1ta������:���Y�
�L�����s��U
w�
7��������Y�{��wa�����*�L�����La����;y�G����
�����8C���,H������wu^2g����[��R G"B���
M2nGITG�Th`�������v����K�/6�:��Z`E��R��.����%���P���w
@��g3�`�u�qrj@2���]"`��4������Z���=1�X@���SB��O��
�
���X
���N�F�����F4D,�ik�YV���"��&����������p��pi��A��d�*U�Z��D<U�&�<��R�6`?��vv� ��>~�*}H�u��p�m[����d���@�R�XR'N���f�;�%�
���rM�\
�����^�x�`~��2�c�\�l��
�3)XL����0�
!V��
���D.u
�}��v��[R�f�
��
b �%�;����ly���;+-����DO�2_�������9j�bl c���-�>�5;U�l/��j���w.�����
�h��
7����$��|�/P/k��'���9 ����&V9x+\f�
GSe_�/b�8k�Ec6��C���}������g?����=9�V�qy)�]�8��xo���>t+N�{Mc���BH�2���6���+���]E:3�a9����'a���P>�U�
�V
%�@���IR�We���$�q �YES3]�f�4]�r��&��<���)�U*��V1AI���Pf�(�n��dl�)`�?���1lIc��
.�
�
sv�~0���Q�(����u�3��4!��^Ys9W�L *������
fnja� 2��#V�#4Wk���r�8[�b���XN����
*k)?9>
L�v�k��A����y�;k���c����D�
E�dO������h"��<�A�T�6���%���$l�a
��x9dmw��n��o�4s
cU��� ��/����<u��� %�Q�O�'y��;��h�V�ig
���I)%c��+������$�����l|�Q������>3�6�Z��/���y���B���\��x���
�l�������7@�\������2����M�W�q�K*7��t����k�+6����euK���w
�cG=�V���n`�6���X=��?Zh2 3�+���ll8
�"������C�J$�����G�������6$����)W��)��6��aNL89���q���
��,��;7�~��y��u��r*E�D!�ef�e���D2@@�3~��r
�zB}��a�CM%��8BV�-p��m�AT�k���W���[L�}n�rJ��
�B9D��%YN�K:����s��]a:�yz@��o�
V7�s��o��b{��AN��T����AW^�2Z��5��I�/���V�
_��x3b�|+�e��q��3n���}����d�<��
���86�p2 Wlis����5A
��rv���T�H�@�����s
�-����v.�Ke80�
KDx�������z��EY=)�Va�%���y���%�_
+p�Y��e����
,8H�I�
h�h��Q��Y��JI�'�{�7�3#C�y����{��W�2Ogz��mr1`�~�j�������bw���@����}�"����7�`s���%�*q�
N4a���jM�
�:>�����i����iN�q��Uy�1� �F�/2�S:[��e���������,����[�[�/\�j *��}
j����P\!_Y����A8
���J���K�E���S�1VC��������2�!y���C���V�}�T�^�=}�B2����D{�^#�����������l:�(;��Lv8�b`���"����>��
�%;��5������DV(�sRP�����6����j��E0m~�;�
8����C@L�.�EQ�
�8�0��m���@Xp�����jD��2�gZ:=T9w���H�q:��?����o�����������
��
;���{L�4���9�a�A^4����T�C�m��N��K>���=d����0�w�K_g�z�e�RuU�H-��[=
#�(���G�V-�g���Q�S�*d��9�P>��:�:2�
�P���>�vJ/���T�b�/3 ��4 ' 1�y�-x1`��v�-�r���M���r�O�����L��x[�
�F�+'��lg���(����V�������E���D�G���t*�Uz�
z9@ik�|����Aa@�r������$�����}I�/t�h�
����f�j����Vb���^R��%7�#~rZa�%����P����J(A ��{8�X��|0�6BI}�);*_*�R���VQ��p�8$���U�hWH��<��5��M�Q@�����=�E
;m�`�������_�7��J4?�HH�*��|���|�+�.}�����������/�,��������[E~�>��IP�����<�[�JGQ��K5����+�����
9��O��� �=��$d�2�D���,E�
c�����[^OwFt:��K
��N�_�����a���>��S�h���&���r��L�}�6#IE�DKh-U�|�.�A}�K�WI
)�����4��4�H���U7�:��8��a[�$�����l���v�����o�[�� ����t�k��| ��>�k����E���������d I��y����kv��
;���i9G�����)�.j�����1C�XFL��dm�O����6wb�/
a%y)k[6������Z�go[�����T�OKLK,�H�(��m�jSa0��#�T���a�3�p^0sF�}I��us2�b
�q��
i? �8rI#kp�-����E�����o��2u������n% ���w9�t7�t0�0��: y1b;�Q�P��$l"��Z����W #���1�C
�{�j}
��:p��b�aC���.[qA�L��|uJ���Rd3i�3��T��N� i�4�#��is��k|$�u^��e��o����J����
�|��+�I�c��a�_����8��
���Y����t���f�`n
,���+�^S
�z|��7���/`Yf�K5P�����i+�|_7h��>���s$�������K����T���'�����-Zb�f�v�=-@�BH�`�>Gg5��� �l�+�G���-�
�S
�pX>����S��@]����J�-y'x����<@/!�!�����*`&����8����26�U�W%�7'��L����3�S96:b
�C�#�^���[ ��R7�D�B�uo��]�g2�$�P��e���u����N;�����'\����������
C�I@���<�s�WNl. !�%o�!
}�P�'r(�t����(-�i����9gh��I���4�����@i���c�{�
����
<^��+�K�{��9��FrS2���4������ ���x�yT�MRn>��6`��[��\4�Q�(j
Ls���ig�����K���!����j�Ig���I'm=-KaV�� �������,��>!2�K�"{0h�*�3$�j��}Pxg
M��`�,)An����\x�]fj�Gn�bD�a��q
�8PQkL`
������i�R�[h
,�e
�Xn �#"�9h����V��g�F�XpT���t_q0���
��_����x����q)"F%��lK%�p-��f�@p2kdve���X���
��H�f��(�*�-p��9�r��f�"1������"�a��/f6N���;&)1��=���xU>Em�*��A=�L��:��]HS����w�����%w��v��
'�����G�/�>� C�t�6�F@�~E��S)��G ��P5�������(�lx�^���*�Gv�����;�d&��� =��q�����3� -�����*��m���WS�f���d�jY�S�����m��%�'�A5E�����$7v
�X��_��t����8���y'��<�������/?nT���x��P*A��L�;y�
��N�%�+s�1MC5V��09R���#!�Q�%� � ��{f��d���\a��o��*u7VT^e������3����.�V��Dt��y���85 c��4�HF�L&;����h��U�:$(,�#|����TNNx��r���->�.���'��
�el����X�����������9@���N
�:���� �p���S���b�����g����4���*�+:M�4+i�4[��-�&�_ip�t��o�}m�u��
LD~
ZU��~�[}r
G�wWd� M"�2�pw��
������e:��[m��.^���3IAbY�I� p��������G��~��� ��H��X)�7��%
�m
-e�����]U��a�%5�]
o�����"1�\Jr�`@oG������wlD+��-��B=X�������p�o��?�;w/�kP��
~I[�}�j�,)�d�����]m+�Y.��R��+���+p8��:�9���0�j�3.����OQ��z������@�����p��VU��Ye�p�h�ZI���Y���������|
�F��
��`O�}
z�j��WM��d��wj@qv������h�]����5�
}k��W9mx-<��m��%J�p}|� \$�2�f��I��j�x�I8]Gd�*��d�����Cv�UPV�5$�`���
���i����<�1s��\s'�T�.i�V�
�j�~�.M4�:���R<��������v�%���:�`�����"]�5��
�$yq��6�N�� e'yGx��m�W���%x��H)�3����N��~���7K�x�U�]��td�hm��K)�b)�E��W�A������][�������YZ��K^��b����T��%���
�\:+
%{��E�H��#�/���w���c;<���^��ee���1NDY�[$���6��%��{�[���V�PFD'<��R��RAc��~��U�Z
;��/����c�� ��a��y�A8Jkm�7�����c������V��q`g�fo��4�Uq��
K
�������J�Dv�-]���#$��K=��]���z�L�����H-��I�n#�p��t��:�������x�W������
]p"{�$��@���
���
F��!���r
K���4;�l/^tE����)
_�
�'l.��K��
�VY�c$�#
j�
Eg�f��n;�4�\UY8o�� �l}��7*"{����1H�����&p��Qv\\�<���/'i�o�W
���V0s�V�-���8���f&eqfv��&�;Pb�X���Z���^o���4{���Ul�]�f��;�jOp���������9
X���:�5��
x��-��9T@��sh{6A��VZ`X`M��&������(c��&���������7�t�KE(���Z>�����X��PS}L{�?��)�
����
��V��<W��r�UzT�����j�A���-~��k��fL
���d�;vb����i���"*����q(��[��Z�1z��%�Vv�u
���br{�Ju�0������d�C�`%e�he�`]^^����1e�
U�dt��9(&�b�N-����3H�J�[��\��6��;�aC5A��X�O&���b��� ���F�\����
�m�tD'�^.�����C���� h���O�
�G��J[��t_����aD�=��5�xP������W�����\�
��*�
-����^dZ����Kv�7��d�S��"�6���������\'�)~�Kc���n`J�'8C}��
MUY�m����+<uF�����Y�>�g����n���4
*=�W�a�RZ�� [��V��9Lx�#y$���3�|�6[���_ [ ���8T��
�v�d��R����T��6��������K_�s�Lm���*=���1���O
dp��l�4�"��kE,� GA%�lN&l�����-���B�Vk{��{8p���m��IKT�&�*���z�eb���2T���_���69i� ?K���/���
?45aCS��E�G��\/LW��Z1i�l�_�6�d.|�j�(�*w�&8S��c�
��|�c�l�"h�e
�|W.��w�.mk���b�;����>�X�!{�T���^��~�.�K��As��p�Sb��0c�|`���9J���v�z<�PBL� ��$��S^�f�.�l�jl�bW���2�|u,Oi+n�
�?� F���J�*<XN�������H ��P���D�X��n��W�5���p�V9x��RYM<1�Q�r�?_��no�' ������<�}������[���=�G3���fR��WyHDo�Z����"���d������;s�^2���'{����M�y�����C�PmU�L��/*%��r;E e�6)T���/����WWl
'n��Q����*@c���*7(`������&�R *u��.Y&����m�9+�x��8\��c�����r��y^������s����w����>���IF��F�� �g���XO�bp�M���?������D������!�&QXAi���\\A�5������9����'J����3Z�NZ�vc��b�]Yj��@h��))tk��-'��}Mj�d�/�#��
$k7�C��y�
ax
���;j*A[��������K�����4
� ��pe�Lb[y�U��#r{��if/�jT�&�d>\���:"fo�$����57���4OiS
+[Hj�0���6�
������@Mr=x�gTj?�Y��oR���������~E{��ue :�#���{��'1���~U���XP`+&��Y��� ����U�L�~N����Y^������+|hSO�}�������Vp��
�$����Vv������1���f�V���
uZ�"�����%��#��xlc��w�
��`/��y�V��
q, k,1�A��[ m� _���a��sc ��c4 n%�|�;�����cj�f,��10��+�Y-_C}��Ux��K�5ee�tH�H�,i�T��<O��L����;�:�i�����O��tn�eO��c�Ms��CW����NOjf� �n�8����R
���-i��L���V
���a��Zf��\]����|�Q?� �{U���0���q����e��'��P�Kvu
D[��fc���|��5��^eZ��fyog���� )��;
%��E��u��
���9�����FlXT��4���BDI
j�u�
����Q~��I��n;��&U��By��gT��V
���MB|�R�B��-��y%��
�-?�j��:�[?����?G������$
�p1I
ed{���`����$n<��.�h��I���6>K�<Z�}����x�VS��
�--
���e+���� v�I��2����� ~����7��NK�\�_{�R��7O�]��(�
������L���@�C�(
o.vd �F36��������
c�K[ ������=�6��
�)� ��|�|JH�N�����L;u���@:M���Z���E�
.5E����d\�*A�}�Wq��s�d
v��%&��M$������l*����
����`��Cb
��������e$��l`�:P�\���U���
D�
/{��DpZ �<q8�!���+6���)?6�%+(7�T����fH.�y_�1G�-vC�%z�2��vy��k��*a=B�>��)I�1F�&${�qs��o6���q��ER��p>����#�AWky��+ �T
K���{{�!�-��@RdN
�[�V��7��IQ3;��SU�-2�K
=�#�
�
3q����� �S�
x%Ei�!��6mc�%�~1� 4
��G���H
�%c�3������Z��6�+�q��r�W���
��c��)
����7��t���Go�J
���-��
1(
� z���G�Q�Vq�R.�!P
v��W�[�
��r~+���'�P��*6��Rd�-Hf7b�G�����;���������������p��������G��(&�
����W}�}��f����v��t��X1Gi����X��R
F�!s�
�����u(R�A*p"[R;�J6
/��Y!
����m��\f���� #g�S�R
���^f�%R5h��6q1���R�y������fW6{�1b��Z-gmY��
s�g]��Br/4����'���C3w������)D���"�� p�Z�vR]�<�(�t9���V���U�f��N��K
�Xo�^�eEnw���[ne�[X�RNk��
������`��4 �g�������l���A�r��\q�����}
�j��
��E��S1?� #����^�Al$s������z��VR>�`�]up/�wk�|��V������4�i3�gW���!�:
5F�h��F{U8�Dr9�U���GZ�3d/?���#�
y5��R�}4
��9
KBu���W&
��0��@B4ui�Y@;3����W�
5t�l�#��e$�n��(�>��T�F�g�R�Y7�J�`.n�M�3U&�2�Zw
�m[�0C���
��uQ
[����P������c
���Xq���#�}�"�3\����
�� ��;F�|�E�v����%�R DFZP���th����P��O
&v�� >JYfI���
5A���6��l����4C�� p�68��t9�D]"������
?n��N��s��S=�rR�U+����,�
�uy�|~q�la$
\v5xL�����#g����/�mU����8�'����<����o>��v^�k��)�*Y�O��bZUq�N��y�_��3���R
��=��8<f�<��?g7�q�e$��r��W�~��$��y�a!YG�9�]�Q
:&{X���$�QD�������9��)
w��^��[���I����/��������b���L�������n7�����U-��
�Y��r�������r�g�!����'������u9������Ut@���):��dY��de�P4�x�+�[����};�"
s�S���[�e�Y�_C3�QEkN
Xe{P��v9Fn�
�������m�VG)k�E�\9� �-wg9����G��X����#�6��lo�3��Z<R ��q%��n��
]#����a;M�|4�;�({��I��%�l��s�
>Z J��KYZ���:�x��9��"��D�\��`�)���
���q����}���)�U���M�
�UZ������SK!���.��e'p ;sf�L�X]�Ao[�����?���.9���w��f���J"�h�bZQ��?�A
��+?0�~�*�rX(�t�$�Z=i��_4�� ���LJdce'�$�{�H��[��������#�s�+����Q���������[������d��Dd^�
��K�N�Cw�D�cc�Z9ZrB��Sp.�a�\��!�}��>�����'���WO@J����w��������;� ` `
8�
�TD�A{m~������Y*L���3>L�)����)
�M{��L�P?����-RG�
zM���Ci��o�ms���'`�"~(�
RU��6�R�� nBZ�pl/��M�^������J�y$7u����p;o���PG
� ��u�����g`{�-��:q��t,w���[�D�:�`����N3�1�]=
��ZJI
�!��/^';�a ������3��mj�/�?F�
�[@�
Y��Q"8|���uTw���[�e���B"`p��9�)���y�+������'e
$a ]�}�I����z��0f�DI����
h�
K
2I���*Qe����o����1�_�E�>Y%*�h�Y��
cK�+��q(�|M���Y)��{�"�?�l+M[�.�}�)��2qa�1����J����wJ5N� ����N�4��,��������
�/g]�V��g#���e,lJ �a���`����|V���3f��:�K7Y���M����
q�����������-7�3�
�����#�s���I�hZg��j���V����f��L��WP/�-�`z��
���N�2\�������b��Ae�����(YP�.G
������*�����"�UQ��� �C
� �1D�
�� TO���g������J����
��P<�K-������8$x ��P~�zU�21O����������@n���bz����t���.
�i�)W�]��m�X��',2p_��V��vw.�cN�4��d��-m�oiFiN0�/2�H4O��t�2g����q��������M8J*j������4;�M���)I�J�=���I��
��
�V^;V�T
�c�$������C �
�����e3&5����� h��b���r�l3�v�$E&Z��N
���HJ)gb1"�b�����
�a�u�#��h�V��+h�����vt$s���F9L
��f�mfbAU�z�q)����,3�����;k����) RD��U�����P
������!����e�����1�^|E��
�������8C��(��"odfg�jr��>�}?�<EP��c�Q��R����
dx8�dF�'�lB�_[�����K��l��q6L�-�cKE�//�P��0$����}^e4�o�_
�����t��_�a�M�9��UY�����
��}���O��e�����}�����J�h�]$f}����
�P��*}[��CyY�L�A�/����|\�G
�KItO
���R�����������{ZJ/{q��#��8��* `�$
z r�v��8D"XMU��c�#�#B���� Wj����}YMY�Q�s+�AkL<?
�du��#2>K����Q9<�[��+��@
B�C�Ka����X�g;��-�M2)b�C{k�����f zQky�CI�������#�!���
&�|0YXO�`�~��'u>h��� �a���Fro��5'����Y7�19����-AF���r�f�<��O�+>l�������4�L�~�q
��P��FP����N���,5�����I}�������?�W�E9�)���~�u��=*�
���-#���
�#r����D�+g���B���z�������"��{�$�e����Jc�(H�������9 C) �X%-�����������5.IS���T��?�K���� O����D����v��z�>_Q�P�N�R���
3����CV�5]4,��E@�K��p��0���#��5
s��W�+egr�a��*v�`����C�h��J����uJccYB�$g�o%�/�*'�5�o,`K�&.����}v�_�Mv��c��K�ni�cz��IZ����
���?/�i��b�RC�x_r%������aW3���.J]u(�%�.�K��42�A�%L�P��50}�k���GOi������=7�����D���N�����Uu�VE����Rg���\�A����#X���W�P�����W���>)w9���7i�s�U.2Gm�BJKAE9��5��IC�uZ5)��
��vg|Jt����2�w*j������
%yL^�U���9$V\[��/^�
N���*�V�N����VA$���C7
�6r��l��{���z�v���_E ���T ��R������N�j�����&������������v�X��N��E#��m��o���}�6��o��]E�d�7]m�
�
�������h���1[�5�!���
�r���� ������������q�`�c���(:�<�3&�RP�I�
�N�K���XVs^�����������tz����E� �
"F�F�r,Ty���W��}V��^l�9���
������(6
�d_��u�F���<�S�jE[#�?�9|����yr�p�w>���pz��%�����|���9���� s��`��;5BI�z���������KLf�>��9����y*��M�r6����8
!����>7�G�T�G�M
3��t���w�"�Dx6a���]��� xc.)��
�d��f)1&
��r�0�~H|a:/u�2v�^������w����x^��b���<��PI�K�W��7����bOK>;
�%����Zq*beeIcG��EB�
��Qb
>\Tdd��h��
d�����r�2
�����6��,
M��p���L
���^{c��)�S��z%KR@�p�PD
�
QN���>R��z
KWX�VX�>lq�>h��Mp��Sf�#a����zXL��W�'&�p���s;��TE�D�9"�������7XHj\�o,f��MG����ro�a]���v�~]�P��q��Nn��u��S��C�n���U
�rB�^)�d��>��������Y?��<A��i+$��pUy;�������,�U^������s�
c&s*���?���q
�S��a9Ia�W@9�DY�L���
���p�UVn�
8���7�-bco���nh<.
���0��*4�j��AR��h/G���aE)���Q�
�c��'+����)��������s�_���-���!&$(Z�1�������-]�e��L�e��� Bi�T�����
S�b=)U����K�+@��n�f:a�
�:.|����F��cG�)�Er��HO'��i�-�;����i5���=�SWV�8�f�UO^u�
��q�����3o�YS I�d����Wv�BL%w�l
����H��N~��f�W�|#l��9
��4� �
E�L#��&�&�a�#�=�
�<���m*+Y$7�-�A�C��1�,���P���<��
�vs�p����&.K���C9��
�
��cEA@%yl'�)�Zl��jw�:H�9����5�5#�V0D�6zN'�F�O,�VS�R3 5/`K���
)���]t�:vc1
�����{�JM
$��R�%��=#8��+�e` �+
�-��L���L���M�H�x���Y?��0��
�,Y�Z��/�N7
�(�����21N|��U��fXuv��:Lg��#�+����
�3sm��d�R��Pq)��������n�`��������
).cd�rRr�����D@�:�0�m)����Kq��?'/�J�O���C)+
F�U8��&������@T�)�{����F�
{�oU�c�a1Q��y��FqB���/��Qr"�K��k��i������~A��V/b��E�������
���i.�m
���g4]
������
���S� �3s�Gq�
�.��_P�]^���*�i�5^���r��d��� |\5=
@��`����3\����������N9
����\�4�
{� p�`�8��R��J�yeT���`��r�*��/�$�L>/+
�U9�m��-����vi]&Q*V Cp��6�639��n��XSa�yK��n��n�p���r9+e�q�Bm�@�����3N*��l�\�(��n
�`�fp:
�hK�B�H�IO��#A��,�`\��&��� ��O�)��1�����]���������H`
u'�O3
��z��j���[���j��D/$�FW���qS��zK� ";vh����6[��*��a��:x|
�`�
.1�~�$�����rV��q��,�3n
�^I���@/
�������?�#2�|�lIxO�C:�(�!n�,����u}qlqg�2^��e_��=���F�B(v�����v<RJVU��%�_3���h������
d2�,Ncal��D����a���+�t�!
�@I�Q ���cH�n���J1+��}��J�q����~�nW�]�!Cuv����v]7u�/Qq 2x��Q���Jg*J Wp�+�]O���iv`�r����6�F"����8����L�k�W9qk�N��,��!�����)��D�^89
1�-���z��y�$O�
��u��G�Y��T�!������d����#.O�4�t��iD�`�!�hZ�}���?��Ey�n<�y`}+}�7yd���JD
\��h���?o�A�J���W$&)j&�!�H���%$�0
��h6�U�r?\\%���j����F���D��
�����;��z9��x�q��u����L��G�+rP��
�@v�������K��aa�8##���Jb�c� �����R��W�H�F�!��J���
�%
��2jV�
<�x�.�����Wi4i��p���`�'����[���N
�����]@���
�C|/WK�G0Q�Q������K����^�:�|(��U�
��N�O�Yf��:\�}�W� ��)�Q*�zx��O��Y9��#�����r�m��LE�.��;��'6G���#���
��Tu�xT5)�s��.�����X�!�1�#n}�ll��������rI�����
���`
���Reg�����^���J\U;G3}*��$�N4�HI]�S�#nXy�����V�VBm�
NB?`��r�yGn9�
w&U�-��T3j�J��,C4;�$.� ��iB���j*�������
�,U�3ro���,wm�#�g� ���9��Y���4qL"��r0
9�dt���>������c�e�����r�������b��#&
��#�-ns=�qG
`H]n��K 4����O�Hd��P�59=�?��H���
R�
2��&�M���<�?o+���9>�5W�':��$w����>����bm�$�h���D
��p[R~5�a��������-J|[�(�S��+�-�v
ce�� �WA�|�����k[�tv���,4�5M������
�BH��5��������EIx{�g����m6���j�<R[��2�g���fj���-z�z� �
�19<��9~R��9�R����`
'�e��Ko�bO
�H��[]�i��g�����bDw��0 �N(9�
�C '`����
$YNG�f��2����Hx��I���+�D�Eh�����W��i��e�r�I�GP]d���z�-�����Y4e\�W���3�u2[�+�*W����2�\�
HSw
Ry�e
���PhK*D�dr+����~�� ����M���v����c����0���V7���g�?',�M�&3��.�k;� �yu�d�oU�Zk�p��<@�g
�C��XR�~Xg�4�R�j��6�xF�vU�0��D�U�.�<��N���1|�L}�.�]z@y��e&;m�W9]YC��Y~|_P�Z~D
<
l���q�7Dy�9������$k��~pj/�o���g�?�
`O��A�a�G8�����0a�����a�v_��`���N{�]�H������V$�,�������(�LDJR?2-�Nx�e��y����)U*� ���mI�A �/��:�N�;k�=��a���"q����
�����
Y�#��/QT^j�3��ed3�*����B�nXj����$IQ�1��U)������MG;�������'z���gix��q>9z������ ����T�>d���NQ�n9��Jbs)>f
�%"BS���gb��=���Bn���S�r$5�M`��WU(<0�����"U�R��^
�*=>���,������S]��%�S��Z�a&�Y�>�)P� s��,�p'U��w5ZlX$�;m���'\{~4s�7���u_f���d�[��(��m�/Q3^5[���������o��F|��HZ�q>
��>H�,f�G-����ph*.!������bN�c�[�S,���i,�Y�+����|��Qo��\��&2���d�����{�6;��J�3�+�a��r
(Sm���l���$�Jj<;w��Y�*�@�v��}�}�:Uu�2����K
��'s+bG���c���p�MFa�|��<�dv[���W(�@�O��fv8S9S�mf��Y�fw�<�L�/�D��
[LO�:��&��6�(��QF���LSUI�V@�TD�
l�2��R��d4kL�������Z?�*�U���_���Z��� �Y��w�rH��V��%�t�k��h@�I-nZi�:�JT���>�z�B��( �N��v������
i�Z������^�);��� &@�(i��Su{�
y��Cl�����1M���S]Y�bV�s90_S��Co��Zv4a��U�]mIM�7a[�mYT�7�6OS9IQ"�|��=>��'i����N
����������+�����mS����;b��d�%�J���
�;�N
�W4
���`L�L�lK ����3L�7u�$�Ti�w�AH#�?x�H���dce�$�Z{&�t���2jlZ�lF��[��<G+0Y�G1D��&�+�x���%*��R��hI^�(�����_
0P���KR��P�O�-: �UJ��Yy�U�H\"2��<w7+����V�<��K6A��T�����I1 ����mZ>�[�-e��c�k��m1{��'
J�vg\��w}n'/3��������Y���0����b�M�(
���N�F��
�����5?�[&3��
A@y��s`$y�A���y��a�(���y�N@*�,����+��*�����F�"34f��B�a��(�����~�������@��#�U4��]����"���e�NQ��T�jU�,�U�E�������9������\7���
���58��-��-*����L3�<dC8l�/c�����T��XG&���D�@ ;���
a�eW�<��m�����DH8�R��`5>>kj���EzY#t0��wLy7��p��dJd�C\L �� �1D�6��3����<y��T��
n{;�r��U��������rmD��b=F�%�io �N������q�3�He������]V�y��g/E������E�M%
A��`����D�\����o��K4�
Z�^����m�L����d_[����c��W��J�@��{
�5��,U�JnY
�Q,���dE���e��G52�)�����K�+yP,
U��
�.�����xD����DU"��,�U�,��X�RG���RW��s���x&��j`��*��~�'O��*;���a�\�f�04y(����97�
�
B�Q<�U���7���L^�W]�3����M���h��
���{:)b1����N��.���DYvX��-�D�}���� �'"_��%��x�mz"�~=�T��S���LX%v����s��F-�����R�L�O��Ug�+�
Ngdl�H8��e[������5[������B,�C�^���>����/����4*nmiOy��q�
��_kc ���*�U����i.����d�����xK
5|v���*yy�Pe���`D��=R<D
[�z�G�8�{\B�<�J����T67Kg� !7��I6����LQ,��w&I��������d��RRr�c���=�Z
�N~�P��:1:�%�������J�=���;.Y@@��8��
��7e��^T�>���)J�Xc�[
��
J=u��&�2O/A@�e)p���������}�
�������8Ib�&�}�4�V��/-��1�^��I�M�2r�#Vy����r��5���0J��k�9X8d�_�M�F��;��6&�YQ�%_����x���X�H8%jf��` q��v�����vo������h,��61�V���X�u��
�
,s�d����)����[9S��`
�
���&i�/er<�&�0�]Y8!ca�Db����!Bi��kf9dR7��[��J�;2��}�bi�������N��R�^4��\� E?R��R2����2�/�'� �
�l�����?�(c�$�c��$�i��7�,SRL��
��4v���K/;.G�A�Ft?Z04�\m����3
�e�Uv�Bf�K����
���U������H�|�I#�3�^IU�l����M�>�,��%(*�1����R�������_'x��u����zUs:��=J%���cK
���('�
�
�$�-=�~�b��/�E�G#��t 7�����2����~����S#C%�e�}WJ[xz
~3.��=��d�r'v�r�?�93�Ia/�o��[�.&K
�,��B�rQ��\y�=K�x��R���r�� ��k6�k�|���$'�L/��c����P^�^�Gn�BN�
%��q9��H )�� 8h�p<��V
N�|jR1������YM��� *2i�\���=:�L�W�nF��> ��g�����vo��W�(M�+�@�dw���!$��B�!!�����������q`��;�h���r����LC5�Iu8���b����.Lq����Y
�M83���D��Yro���m��
[]��7��fm����gV�fR��z"��q�Z nk�5�'��@,Y
��J�5f�Y����R-
������B��c�Av������ukk�
�J��SD����1��X6�i��������`n<+�=P�����jE
�R����ly�D�Y
h�E��L���w�����^[�AEe�Xg�Q��9��Qi
O"��%�����<Ou<��q
�Af�� #��[A�:l���LC(re�@�OH%�I�*�p#�e1Pm�u��&
���v��T��@�2#���;��/��B���Fry�����P��[����Lu�+Qf����]�� ����(�R97�wU��L]����
�3�i��F���G��������F;�J�,d�Q2����c|$^��M�S{�al��Br�Ec2�[)��niG����=A��a�s�>zth!�`_=�����l]���z{��
���n
4��CA���U��������Tp�Z[8b���k�����X�f/1��wb6�����%f�v��a������i�&�1��Yw�E��Q�6%%��%K
h��J���e����2��m�����9�Y������?+� #�hasgC��%�
�l�J����:I\*e�-)�Q�fF�����y��Zfz�B�b;NrXg�a��P��9���
5��R�,�6bI;a���Jr��
"0�jX��f�W$���>��r��|
Z{�R���hX:Y�'6v�I���.{�B�[�5X7������L�h<k7����}��K��*c�zK&���#�p�[�����n�
�.b���T�EL�;�9[k^
��\�v�&5S��=����{��*c�*@&�]���=���H���v���;�"
�T{EVI�-\����������������`��e�%]+b���d�����1Y��?�$�U~PBb��z�v.@%���8j��2���)�z�@�5�
��
Ua9R-���Pj��2�T���l5��ErA�����@�R�7���e��=3!>�E�����UN�*���Z����q���\�
-���f�����7��1�$;���-�:g���<.R�=�N��k�~z����K�h���#`$6�^��B��,^a��~,3����]]�~[�l�
�Ey�s5�����e�Z�u�
�@��7�B���Z2
%��L
��&R����mu���mDg����j���\3�e�ZO+��[�rX�n���DuLS��������
*�������H����m�(�{��a����$l�@������V
(
^�\ZT�b Ja$�6-�����)J��`��R;�!'8����(�D@�� ��"S�D�)��? ����h�HEeyhpM��cj�5u^\����m��Rk�<����v��l
����1N��X���7~G*{��1��i����H9��9{
C��S���~C��R �?�Q��d,[[4:�V9��i@Y������}@���Ve�Vv�U0�e�3��nv�(
�
�,���d�\V�����^�q�b��&��yk7�~���w���V7Z$�e��N�Y�x��
�����7�������h��d�my��H��$��/�jUV*%8g��%o������q:����
��T��rIb1�#+_����hy�Z=�TU�=�%@����|2�Dfl��������i�%Zw����Acf������0Te�*QM��Z{�q�*��j�H����[�
��J����F�#��U.�����@(4t�Xk�RY@�8����r���"�V����MY
-k������ s�F�/_����dF�?��%{PB�Q�e�T��Y���'2�������Z�c��wasf��k�*0 [�HBU��D=,����L�
�:��G
��nI���.�L�H^�4AU�X�yy��-D����3���lb{?�
D���,3��C��Y�,�V��!��;[�*U�Gs��\2A)��U��$=�B6�.�M4��c��H��z��m�b54V�5
0�����x
6 �������^��R�BFK�
��jy��h����H/`R�6��$f�����'j�Z��K��Iv#��vF3��h�A�K�,��ma-�%�bp��lS|�,�O9
����^0;���6GgYip*��N���
`���$$Hf���i�����+H
M��UZ�����9�@w�L��F
)
�,^�U8)��������l���1O��~�D8�Z[����v�X�!Io+��(o
K��q�y���$J�Y)0^1�����\��1aI
�z���A�*�q;v�
y�i�|"�7dv��A
;�
o)�-���hj,Ud)0D��U���B���P�4J��`�
����a�=1��dS��,a���+�f1�f�=d����|�������6��n�Upub
��h`I�miT�9.h��T'D�
�l�q3�f�M����XJ�G[�
B�O�����gr9`g�Q�Jw��Oi%���Vy�SMG����G��
K�`+C���n�P6hM��L�>�J��A
��[�h!�������
1m�V���%;��*�v��:vq�<E�!�����f�dn��J%�`6�h3+�k�N��T�2��f��H2��0�B(�2�C��i0%3g�2 ={����W���,^�������kV�9oKy������wa��u6�d����OP�(H>��<����E
6���R�j05����dU?`�T
�����@;Y����F�@�������N���
n��
Cha.8�BcMaIB����6�H���
�X0��M��2ku�A5�!Y�i��$5����GS�R��-�sN��-n�ub��~BBFp�,���c4J�)6�����:X��<nQ��EQ��K�k�o8g�`�DgR��ml'�1qco�D���I�I��.����
m�+�D��IzkV��m�Q���( !�����v��0�emz�Q��,��j�V�����|.�O���B
�@'��2��30��R�`?{�����
���Aj*��dg/;�O������4�1�N4.SVb�a�[5�����h ���G�P*���
���Toa���{�ZcA�e�'(����?I�6d]�9�����us�2z'�F���\��;������h��
Q6 s�Yl*�n���g.�E���
���J��T���Yb�}��*�0��0{��I�����$�.�J�b��(��|;��5JF��g�����L�2����)
��l�B����HT��[� �i�Zl����>R��\<��/�������(�l��g�kU<$d ��<�gu��/� P��������\�a�dOWLX:k�hA>��j/Xu5��{�v��'��M�b�m�!1��
����6,0^�Q|���+�iB�P�;�� �if|�.~Y�
ulx��J<pP��&H�C����x���I�:��5Q����V�J�����+�e��D]��a[wG��{�|������UKJn� 55�`-YL�w�
J��
�&N"�Q
<��R
j������X[��J9��\���j�x��
�y+�jm��|Y����8 Ts���R�&�a�����w��� �E��l
��ek�%�r[���\��rv��R���mWj%!�[3G3�/c<*i��
��/r ���2���(��T����&t��dI��
��
����!���_E�����<�����Q�'���~�z�>�4
����,e��IL�c;�4���X���K�����2I�[����gr�h�g2��'4K
rMv�*RT�
��������N*
i��% q������U�������Y�)��@�faf<a,�S�!`i�A��������U)u���_��`�f $��@�e m����kO�Rg���#VLl�T��w���A�FAbK�����E�
R���e�����N�4��L�@<��"h�U��7q��
�9k��C1��qa ��������
9��"��H(�y�q�c��YH�,���X��
{�SQ����X�=J����mP|��;v,v��>���}��l��-bd��E
�`�E������l�G���m�al7T�*?�X�@,Mk����g
��G�� �8�#Vf�� ��V���ga����,rq_!�+�4�������*Lh+0��"1�������P���A��<�I�DK�D�*�~5p���U���1��� �)Y>��[b�O���=���M2�K���J�b(� m�wbd$l��0�}7v�����jra���38�K2,��.�h����c���*�V)�~�� 6"���l�� �\�%2[Ld���������z�
�'�x\��a�9�RReR�9tI��Q�Y��1�zV�P�����0�e);��,N��H�iS/��R���x��M,��$s#]
�9H}�E��u"^�������@���=��Ux�d�j�w
m'��,sG4*u����$1o-���u� �����W
�����N�X��s��U9�r�-���\Y���P�����2cZ��Gw��f�0��,.)
���
�`/�-TC���SBl6�#�Te�t�&�F����
-�.-����=nG$�����}r�M��14U;�S��z����<����t���ZB7�T�--6����vx�N���t�������4������R~��M{�,,�{���
.R��m�5���<������u�
+�>�
FI�<L���Ef{�����J��)P���L9c����G�bj9G�����X�D��T46���BKE0`
�L5f����kq��[����u.S����
�/�L�
I������M��"u�S�����xs;~��B��V���
�Ytu�$'PZ������n����@%�����,��Dx��t*��2
�u�9����
�����S���Z��Y�=��J�B6\�����E0![��RO��K���eh���@
�����k��a1k �i������-�D�,%�X>d�>6
�^a$
�3p��(W)
�KY�H���9)1\e��6��6"7@>h�`)kS����x���jl�>)=y�$�d��8x|wr&��dIW&�)g��,U��{N��*U�s]���|u
x��
K���)��W
�LR�z�_�#a�T�L���:9�Fe���,$�9�1�����Q� �R��F��D�$���z#�i�g��7p�~���$1�������X!YkM\�G���W ������$��2oX-&I����g������
����8��@���W����pA����U#y�����'�������>��R�w1����4�#x�%�RR� ��h+aP%��q�%�e�)�F��;
�#-Z��3�K�@S)��=�8���}�g��>Kz�]O��������l$Y�#��fR���'�����XL�� � �$�^����h�
q5WH�0�A�����
z�I�H/ ��������:�@H����u�f�O�G)����FB2��T�l�Lm%w5�_��u�3�t "
��;�������Q���<�x.��c�!��)"U�R{*��$��{
x��lXy�Q5��GD���`������jq����8a����K
��l/W7�v��N�����Y2`Y�U&��
��f]
�()����0�r�8���^K�H���~�k����
cq�3������EN&�P��A
6m(>U���2�&�jF&���#��!�\�1&2Y��>����7�g����Yx(������J����v�
��9�l=����(�n�,���,Dl{@�h/1�:����~�*��������,*�'+W�j���e
����� I����V���l����FDi�L� ��
=����q[���8�f���DPN�
@�G
z��*�z����@@�U���);n
_��!�_���s�J4����=�cCE�0XEZT�����U��k�QK�R������f�-CF���8��;}AY�D.�-�U>��mj�J�O5Hy8����tz�r>Z�"�Euo����g ���}� ����x &���q������W�U7)o��&k�(t U����B���}[��_9��g�����GgDo�}�P@b�?aPe7NQ(r���4�u�r��
fZ.W�t
����k%%� ;l
.u
��6n2��T��f�k�W
��%H��X-���y
%�*��2)�����T9��`�L=���
��H
��F�F�S�`�D�PZ��h%�����g��+(�r�r ��Q;���?������M�Y;*�2cc%s�3��/�D���N��T�$�W�IR ��D��<�K������L���������8{en�D
`6J%{l��r��a�;�TN�j.sE
z��N��E�3��$a/��Sx��#@Y���?K����k��D|6q( ��FT���t>��,��D�\2��*�k�
KX1�����q��E�m�LM�M�w]�
��{�
k���n`����b�OO�nF�ee��T������}�Ha��eM{�iS��m�K�M|��B
��5Q~�&:�5�n#�|�\�O�0
�5c9�e#�!������V�7�j��l�7�!�C�*�����A�������>�������v��o<��G�����=����{X��auv~��<���|����o��^��\=�W�2<&( ���^\�<O_���V�
�N�x�q�:
���N'��O�O��6�����o�x�����~���g_h������z�~���l����<:I�����������7G'u�u.�����k���w��<={1]
����<y����{G'������� y��x��O^������N�/s�����trq�_�����/�� �}����k���_�����x�}������'��������}5
�����}��m_�W
�����|��=>>��^z?��O
|��C>��/>��/�~�?��g o�����g�����������O��'�1�T|��W�sC��
�\\r/{���Y`_��c�
�m�w��� X��q
'���g�z
�N.�_:�_x�/��^=^vW�>����eu��l}����o��?���xv`���xkE1�WT��|+[������� ��ybC^\�W�.��fY^\��
���%>��{ �������.��/O��]��<���x~t��1����w�����9:g3^~s����7/_�����quu�%?|���h��`�?�Yyt����X;��+�2}���y8[=����?���
�^��W�����3$~��|�����_�����2��������*������y}��K���/�
m���a`.�
�_ ������w"�<Y���Xx X��?9�������
~���
~�0���E�1~�����}��g�����o>��:����ogW{��/�?EgW�g������ru����|:MW/_������������O�:��a\O~
���NN��?�����|���0e+m�*��w�;=�{m����?�^�I�����y���hY}�G����G�W����|�����OO���Ez�o2�n�N��7 \O��y����3@��L3��7|�i�&��<�~[ p�Z�O_����
���=�:�
l^7����g
�g�
������(�L�N�.�������G+~���b��.�5�Ntnk�|�}��p=+�����:�[��
���/>[��
��x���-;��8Io�"��Fv�����8x�����
�����v6���r�������F��2��x���M<�8;`�|����ayCh������=�[V�����I����=�/�;��cL�J;���]�����_� �>�z���UY�_
��
��
+v����K������_������\��0��~���������r���Z�`�^���=�X&�R�
�����&��C#_b�6s��Y~���j��"��������UM��Xc����c���1�\*)��B;Nu� �����L}�cm�=�u���E�9
C��J��d+Cc�`yJ��X'�f�1�
f�l�-AS��<�sWu�1VF%���E��j�������L<���l�\��S{�n���ai���`1DF�|���ug+��slU��5g��
��l����K�7����]I����'5��amgSg!Ym1���a*� ����+6%���?��
*Qy��0�<l�0�2O���f�cy��
j�zrR��<-�R\�q����rlo[�D��X<�Ll�����K�],�����Z��z:����j�q�X��{-Uv��F����u����
;��Un���)�JvGV�5��`s�07]��8�5���v�
�@���{�$:
K.�������$����Z������$J�i+���h!� �U
T�O������+�H��k3�'�o?3
<z��QFf�������P�]��an7���������&T����$]�|�Y�|���J��-$���F-{y��,
�������C��I$�Wsm9���R(������~������b���}35��C���%BJ��1[����Y���5L��PyZ)��}Cg��C=��]��
)����u�e�'�m����RM��0�K�Lm�z�����V�q��L8uU�{�p_��Vmsb��
}]���?.ifm>
x�te���+Y�=�7i�z;��5�h�eLi]&[�q�m���(���u��d�-��UY�}l-M-j�o�9��64��l�X�Q`��9,i�$�����Va�n��eMO���������qn�����Sm�|[���X�j�Q�J��wYQ US�{���5��J��
��Se
'�q��XM�����D�S����<�U��X���/���O@d}b��� i��/6���������<F�\�K]����3�y���z)��|e�^�Y��
�e�������fV�"4��;)��U��c1Y
ZN��D>�Rr�fb��]����O�MpR�YG7����Fd�����;��������9�X{���g��2���^Z9�L��Wg�?l�Z��
�.�=lA�L����=o6�D�A|����\4e���D\���g��, ����N�n14,yLYsk�T���u�����,�I]��j�R]u�m�Q��z��,V���3.��v<GY'{%����xl��(�5�F,cQ�L����#fm�0����~`�H�7�4p8����|�,s8���2w��M��
���u3v��Er����$5|=�z�� 2����Y�p"�ea��N�5!#�A�d���/
8� �[��#��+(�tVV��nf�K�����|�J�t�<��G�l�F�w�b �����I]p�)�QNz��,
k�(��l�V>�Re�P��E 0���Ylw�X�:��T�5$[ �$o���9��8�{W��0��P�k�
��+%�
{����H�2�����z;&+,�
�L8�2��}�3�i2�[NJ���'O�g����/�>+L"�5
izp�JX�U���Ka��%w�"�~��}k�F����=���H����k�F/z�`��W��S����c�u��������-m�dA�u6.��l����pGW�@��(�vcY�<H�dw^�T=Jb4\W=��&�N���b���Y����W���WK6�'-�)��B
(���XH�#��]����]���)-���� e����N�9%���
� �0��:M����6{�T�1����(�!{g�C����[R�.I��@|�^5h)�j��>N�%3��$
�A��w&�����j]Kq%R�b�U$P���@Ek��a�o��T�
zWq����#&`�v/����:W�dj�������&��,>�MpJ5X��D�1w��k�8�.\���T4(���j��n�b/�#�tw��,����Vc�Yr7� t���+�~��}kh&�p?��u)T���
�
��L
�
�j
�x�����E��zn�%�`�Y�#�W;>Jl�$-�����#Z.q~�`���a�$ ��F��(U�(��Tdt6?X�+L��`���F��:*�K�7���i
�l#��������m�W����z�h�����:���L�x�!�$J�e�1���'�E��N
6
K�g�+�b����KR����2@zj���������Y�qw��,
GZ�#��l|
Yd��U.#�7��+
�;�&UU>��Bp[����C �G{�elc�Z�JT��#
s,[�����X5&=m����g�e����b��t��Q���@��!vCV3�
���a��%AyG�=NB�p�+9� !�l����)1*)�R����V/��z]�I]���GD��1�1+��P����J��,m&���
���Q��������1Q�fd�1��-b�X���D=���@��)*��
��1�m���A�(
8
<�T��[�$&�������Qz���5����3��.��q
X�2
)*�� �������2n
�h�,l+�y�
4�-3@d��f�M�b���lG)��,�����.�I�~�-4��\t�x r<\�G��Wb���"���i5�<A72u���Io�
pU�^Wid.�:��Q��4�D��lw�Z��������h�P�O��zXd@&
A�w��(,G
C�e�
�J35��
���|
�p��M�L�����
m c��}U�����K��}����i��~A+
���7�$CW��O�LAv
�%�q�X$t�$:_v�.�~1
�b2�`���)m�"�"~�55*�0�W���X�
���-@�*���!����H��k�5�U[�r�dF
���%K��F��<��
�Iu��Dj��BE��G�c+� 5��V�x�5 ?YIu(��c���\���d)���go#���`"�����f��[�n���xS.#� �V �p��e�sn����q��H&�;�R��kk*�"�������
I�P�
>�`e�b��G�k��V�z�Z4Z�=�6�YN�_� & ��R:5��X�U�5�%��F����%��v�dVy�T��hqa9�6-J�v��)����PY��]M�v���(�2�|^c6�0LR�e�Y6��i�x�h�|�mT�8K(�G�����n��]f
o]%i=��z�dQ�Uh��F~���4��"(��Y��g���eK������wV�*�MTc�Z�j���% T�kuk����($
DY1@��i����.
i���
[;8
�$�N�Q���l59$�
��^�Eu�m� f�L�
5�Rg�u�0�H��qT�B�
���g�^b���>mV�0�������k�,\��+�T���i[W.�FeMQ�E�$��ra�Q�&�
|.n���[����L��|k�(�;�A7���IVf\������Lr�"�(�+���ug�%��[���R��P?X*&�����T&�N�N���e��
rlS���hx�f�;�]ck�i�v��j@B��J�7����Ky���U$�&��wD��j�4�=r1��T�G
�"s�����-�"������
�QR�q�l��
�2We:Uy'��Me�
��d[�1�,��TM�Zq�,��,
�2$����Cg;O�z�W��a��I
U�����&eJ���h����AE��������
oK�<���%`
�T�*u)��FI�k�#�(�=��U�oN��yK�q��v�������
�N��F&��Y���k�{����%���������A�#�{J}P��D�$+i4~����j���d1J
��&��kSoV���6���/���SD��Z����������Y!�i���������o�`kD�9PIF��t�����&���#��N�zz\*JU�K��@��2� ��V����L�cX/-�E`�&p(d����N.�W7�����-�H�^�{�)��{
;a�-��H��B�-W������r�^�#�-h���(�7��
�"�#�e
�$�n��z
�G���Q�w�I>��:l��|��������Ag{���
U�]�'m�N��8�.#�I#�199�_@��XH�7�wR���:#��
m���^�d3U2l����R�IO�3O�7�x�1`Z�A�["3l�������XU�VY��������Q��=
<.a�D{E'�H��-��L����z)�����h( ��K��`Y�Y!��V�
�`�8p�Z#���<&7��~�� 4X��U�QB�af��J�P�������/X�r���cC`��(JU����wa�(�$����r����m4]�o6����7X%��wQ�m� O'������hQ2P
�%�K���Ft3�MR
���$2�z���R�=��=X�����7�y�����*d
�<X�����`��� x�^��W���u.�� ��Y�+mp7
_����S���p�o�P{�Q���;J�(��7��9crj
�G���%\b��A�$���I�&^�=��mi
@t'�������{`����Y&�DeU��� �l_ORUQT �K9�R����������Uc����l��t���fQ�N�dL�Q���`?s)��e���dk�" ���A�F�N��Aj6�9+�u��3R����C�-
��X���ND424�� n��
q
2k��w�z#��Kx�����n'����q���v���������Af�
�=���DF���?����G=Dl,�BT��g�5�
��en����|��@��N6
�jb���z����m�j��`���ho�>$�O7�,m�G�� �2b�,O��{���4�?���M:M���-
Ck�pR0�w�v�
tm��Pgzj<����
�Mi+hG�Y�&
:��~{
r]
v������Y�Y�6a ����O��}Fy����0�a�piRmV'w
��(#K'�N���|i�����UL� .
!w���� ��M'�!eFc�+�Nj;�w�\�j0����<�����
�p/D���=z
L�=p�MVL��#�`G�D0J����D�
&I�mtc��iR2,��G�Bp3J��l������H ��E��z��@�����,N���1�����H81�(}~��dk����U����F8J�a���"x�'k)
� ���j(aWD��������iV��<�X����d�p�}�Y%BV��S���Q0A�����Ye���w����M����'JD����?b ��V�DB�QR�.���@�"��Z�0Vg�[�V��������dJUj*�������3S�E'I
�R#}��v
������0�n�%���
'M������4:X��
<1`�j+���J�
�B������J���
e�R�~�
�� �qK�E
,��\��������$����U�sA$�O��!���H
�b�v�K���r�c������G����|��o.�z3�Q���J��=WKw1�|Va�N
��5�,��,���T�������_�0eI�H$ML�Hf$���Q0��4N
����
�Y��9��s�N���m9�:f����`K��y8�BG��$�e�*Lga�A�����K"�'����_�p��-��l�"������L�
�1s
@��e���\Ya �f�A�bc,���� HJ6c��H�
��,f�^)���1�]�HN����e����Jl+~��FK�0C 2fnE.�B*J0���� �
S��a��j4�Wcd��
�:�,\2]��mg,tf�n�y������[b��'K�����:�Tc���W����oV �#��P �RFk��b�E�_��z�������<��
.I��� �:+��_��$��cf�� �nU
[����
��`�T�4��+�P�=���������nP������u��F�6r.����',j�%2����oZ$���,�����������4� asYv&+2��5��*�@��W�h�*��-�b�a�(������,����D��*�7=�V�-�M�
Wy�F�>6[��+{>�Z��� [8��W���p����@� 0�u�$��dc29E������� +=���h�5d �n�Z�av��
'���u1
��(��:4����A�H�Q��7L��UL�v.c���{���K�+���
o&�����k8��xqV�S;��I��M��������
2G�Fyb��-�_� od
�^
���z
�2�1(��i����}���f��SKRi�Fb����)5���o1@���4h��
���4��b_[�����K�&^����y��l9[(o��)�V��q]�Dm ��.����d
�4rDT6�7r��!�����e���
��&zY�;�hYe��}�L���N�M�o0cbMO�h�
B�2q�~��J������?�X��lf�J�&X�����l�n"�kK
H-��������"~3Cl�T�T����D9��
Y�v2��t
�XM3��&e0�8�L����/mj��1t����=�Q��k�
JQ'K'�#K�T�9��jG�������QP���m������=O����?� lY:c1lf�����_�]�T�u|
�i�M�1���hK�p,��T�) �Y4������+����<�m���5�&�
�
'� ��'l��*��5,C�b�����M��%�����h����1O���SR�P\��R�����3�h�9��Y��
RK���.,/k0��4��UX�J���P��lCb�������@�e�?K�r��
r�by��5���5�Va�Y��^o�6=7g$'s\�4�DI@���u
���X"���6S�^Z� ���z,
�k�7�
��{�N�(�Z6J�X�����]E������>.���Y���A�x�
$��bK}�`B)���
b�����mwT�����Y&�)��
[� �����g�A#��Y�3�v���,���r�I[0�Dt�<���B���;�$�qB�U�pS���@f���e���j
�;��H���7�g[�����A�������*����C>>
(����'E��s�$�|��)6K�%3����l�s��A��G'S��T��5F�@������8Xr��r�$=V����vF�55j���"�����c�L��h��z\Z �z<���s�%���j�ACA`�)�
��Pfn�Y�G��-��V#Bv
�+qa�rOLI@���\�m/��,y:�.��^T_�0b
T�)?L�m�^�>������G5���Q��s�w���5g��kE
<`+�-S�Z�7`)�o[�y8
�0Z���_:[� ���gD�� �[�B��BZ�8�}@�C��i)y��J
>>��b��<������Bk�1� �QZH��.��v���% 8�X�bC
���o|�~�h���1NX+�X��pn2t��Qi��*�����02�Ig/�����`���=�w�
�={��TN`�/�Fd�_�u�
�a2���<p�3w�@lRJ�����{L����<�����V����+�q��������i�������rY��:���JZJ�4&�W����Qz ;�nY�d,��R��,n���
���t����E
��pl��T��F�]�e��&
���A����]M
�b���R��
���2���V�3C,\+��Qg#�.��~��O�1����v��&+�T��Y�FY�dg�F�-k�h�mk���;���.� ������d�q�/�$`$�� MO�4��dO|�e���$�"�v��D��g��U��6L���
���P��rw��Z�K�9���\���u7�
�DL�`���(�t�w���DZ����$�@J��>���{��k�;h��2��q 1��V,�g@d�����U���KF�I�&������[�;�*������l4��9q(��b&� �&Z��&�a,�)Sa���lVk��t���3�����r��f�K�0cK�_Z�O`�d�
#���(24����edK}����O��1��c��J$��],
�U�����Jh�uSr;������
y��
��O�=5���m��f
H&�� M,(�y5e*��;k'���T�9@"X&<�1����%����Y��Va�n0h*��n����K :��%
+�����Da8Z+��V���`���Z�ZU.*H���$�����K ���u�����/a
G���:���i,syJoBc��=<%Kpb+���[�����gfX�
�7
���8�r�<q}T�2��5c�;I�:%����hz6�:�`��
��C�Z�#
5z��X���3���
�@��T�c<��5`|d��V�,�V�d5&�����f��-(�9{�����$����u.7��o����f
�tca�4�a�n����t�x+���z�n�}�
����Z����� L�D����������y[���V��bR"��y
�
��D�}�J|U�(�z����x<����J��L]
��)�2u@�#���X�Q��Awu[
��q�����HE���Q
X��Kk!F�q�iY2�VWI7Ev�b������xz�R�J4vj�[l���e��&{i�e���t'+�3�5~t
�F%��d��k���� :�|@�])�x��
��������a��kn�O%�1�F�e�e�-L��"���Le�e��f����B{�_�[���V��N��h����X�
��
K����6'���
-�
���� ��+#�%dWy[��bI���������
��������������������=�?�cowV����� �~�������#&l��-��zB9Y�
0���u��n@-�m�~���@H`v��)c��uAg&pi6A0_E�R�����R�Ak�t*T]��lc@
�X�9��D^�����)��A��PTC-�R��l�������8q�e\*sK��hUl��N��o��>��HL
��
F��{%����
��
��0�6B�R
���GYZ��t��h'�)v0)53M��W�u��k�p�
�LT���S��
����Rgb:��n[�O��XdZ�A+�0j���MC��Xd���c�Ug�g(S�hK/���
��I@���2p����'����3
u++��#�����&�}&���W�D��z�z�
3�����d
0g�pL_a��] �/��%7� ��p���O���2ya��O�,
#
�0�a�H������Nz��
�iqk�*3���52<�,������6��7
W�������X4�����u>���m
=\�*7^��d�5�
�����:S�m�[l�v�9�Z��<��#D#�-����)�/��t�
���Y�v<�-
\w����
+9��p�@�,�\,����@L����-Tj��A
���kVD��PQ��<�\�2�Z%�dRr�""���aX�QYEt�*��bq5`Z�����3Uj��
��s�T�����m�e=Z��
�:MWjB-�
U��aM�yvZ����q
�����P���-l
�;A���_��]P�<bd
�YE��Wv�1$k��s����s'<XlO
;F�M���"�&��tY�
��j��S��Ck!�(���*��8����7���4�~5�VPy�0i���p����T6
��%7TK�=;
��j��4A����.��E������H"g��d@�����L7kQo.��k��WJM���E�b��QU�U+p$2-��D0���D-��s��i�k�T�E3��l���r�����6y
(@�M4
��������������z���6���� n�p�P|���S��}�M�EMlI��I�mYo���u_Z[^�����hu/# �l�V��,�fA1r,�8$G�? �����V
?�g���%�)�@�*(���Pr{Z�����X�X%k"�~f��T�)/�qx�B_<[ ��1b��I��K���,��)!T�����S�A����s�rU�
b�>K�G��m�����p+';c�4�q
�8� S���'��� ��
�T��S ��lb��
�7�u��������,�A.,d��SV�}�]S(k
���w=aU[��b�X�,e<��������V�m�3$������ �0���=��������|ej �:�3����0{�Sk�>�
7��]k���-��5[�T�p,TY���F���
����iL=�-�+X�����V��z��?u
G
��-A�Z"*5�V�7vf0f�j�K���w
�X��#�C��rG
� 4�S���J9
��&�\�
C/kI5���EaZ����U�40`j�������%io�%���i$��O�a�����`�*��rC|�R����#�^����Ee�m�����T�@L��,�$�=��v�|�.AO���
�����gv;��*����:
{T��MWH�1��z�Y���b�B��qb�(��..$wmd������D���w��O���*
X��H�-G������
k}���P%.�(K��!mX@��{f#�����\'Ud�a-h
,Sf6�d Z��a�:�%� Eg��+<D�Jl��f,��P��JJ�F���&������]�������f���R?���s��p�f���C%� �����K������M%)��
��Ez�Q�����T�8�Sr��o.OoYbl���c�n���3-�z��$�q'����
��]�
;B�ifU��.�l��
�<���Q�a\���R�)~�p��#
~U�����B3�L
�5���� SP�O��,�uU
��3��u�eRD�=@��q��{n)��7�� W6f��j ��S�}�3u���s.����B�$�
�����\�L
�{�W�8���
H�2a�L ��L�M��L�O�m���f�m� ����Jn����d}��Z�Kc���=�2�&9M�y*�0���k.f���������Benf���Fb��<�$�c�a�p��i���sq
��������"fe��
=A�����*���/�����hE���+�����X�������h3�41�e�ECP
�s�jB������Y���
%�=l�"�����X�l�������l;=����niI��X&�plv�Z�����y��JY���17����h0�G��a�aT
CQ�ff?����T�w�M]?� �������1E7���gW��6���""z�me�)'�_&��G
�n�j�!���:;g��E��g�q�Y�� ����T7����U��F�Cb��oZ!S������M~��"?'����S���4{��^����n.>�&�,&�D������;��$Oc��������5�N�
�d�-��
�*F`�j���=��p�z�M�K�& ����Q��>z��t����
Y����y�H�N�4
�yp���5����Wc�l�**Z)`�X����L5�h�Q�d�k�ET������SXs����e�G ���N7%��
��`G�����5Y���Q]���j�����������g�0
�uQI_�!��,���Mo
����
K@��
[�Y���:
����$�Um+�b��N%��\6�+$XZ���R���Ye��r��n�H��RB�fYj;5�����3R�%�
�sD�u-YO��P�*�(��H8*���
�^�����v�"]�O
�*�BgV�*���
�@���L$e��S����mK4[����k�����'pce��
��[��4�-Bm��D��v����Vm3s�����U�����#��L�oX���B1J���"��������f-Z'b�+
��B�Q��{%* ��R�<��0��"u�*
�,=�!K����s����W�YEw�/��;d9��v�:�
���h+
L7}�^����7�2 *E8�6�J�
��E\Y�N���,����`drcZG�����8�[�E���K �s�������
�v<�X
�W*M��R��z��\8bl��p�@�.j����t-���%
;74�%Xu��
��2`���B���X�?5�==&�M���.���B��I��
k�iZLZ�� Od���m����V{��v���U�f�T�Z�����w�D�-3+0F�z�B)���t�
.��*�S��r�@�;62�Y�����[������.�JK�z��]�����g��+w��T�[F��V��v[�R����%e9H��f�7���Z'��
�[g�xe�nf�c��8K��R��$b����z��Qw- ��p=��$%����� F�����`"v�����}���Dye�w�Q`a���\Q�g0R��F��w����a4�k0���e�-G���K��* ��s�%���^X���,�V
���ES�����Y9�6�3C|L�%�,���7�DU�0}��'� g1���E{
��l�5�|��T���8�Y�pl3+�W��3NL�;��,�N`�eQ�N}WF
m�3���A�8�&��L���Q�<<�'���n�m#Y�
�����I�
���`pA<4L
����U��q�
�hu*��v�&�]!��yIe�v�Y�����.��(���j��~��� �,�B�&�Q�.R���m�^L�6O��r$���*R:���FN+5�f0M����TA��b�b�r4��M��& ��+
�6�a`�nW�]J0+'
���%������C<t�?u\��J����������n����@ae>aJl���G��p�~�a��8z�rt1F��s6�������;��Y�����z�6�E�+��hT������c����0�
�ZU��K1��mU(�!�� �����M�*'�����lc������N�a)�k��@�sm�2c]
iUl�T.�[�3&+�U�*��16���p+�RG��"��b�u�Lp&hL���"�B���f�p��!gT��s��*e�Q����L
a��~��K�n���X��y[��+B0�m�'��^�����a����D�
����
Xc���
��fPG��}���@GIH#��q�a�Y����f�'��.Z93% �]Z$[����V'-0s����w%���p#�@��,]z��4Oj�[��uu�t�s��?a�p�����g�yJ�<
�'?|����w�?��PG�HU�Q���mQ�v$Zl<�M�
+�F��fQ
SYw���6O7���� [���3�>H���.j�P�����f�wf�o�\Q�������0�����\]��>���%��"��(���t�`�Mi�&A�0�i������S��uWE�����p�GO���G�K���^����<o3s�%���,��R��Iu>B����
�����x�:���*S�a���Q9i��
��s��>!�n���x�%|�`���d��<������ ������$' 9�S@��Xbf5E���
�KkaW����Kv3���O�
,=�%�fYga�j�35c'b�2�6�I�[���
���D���������4��d��g����mW�2y|�eJ��1 s�L'wl�Q������[!�'������eG
��D5*"[?j�/s3��"�0�T
>e�fVi�=����Q�<O\@�61j@�v?��A]���R�*�x#����m���97�NI��#y8X8��<T
���"yP���:E�eYE�$jA�����6��&`��v
6(�&.zO4�E�
���� T[�4p.�+4
����_���y�e-�Z���\�����=���y|��C&�F
s��e�d��b�+ �
2i2Bx���J��p�W0s�i�[Y8�af�6h���9��;A��������������T�T�o�~e�B3��;n
�����LL��C}�)�&�l�+����c
�����<
Vl�yj�M'�����Q�,�9%+�r��
T�m)o#�^)[�k�Z&_��w�K,m>
�0B�5#�����m�O�c�$6%�Bs)����R\7Vxw�[L�1*
,,)A
7��Z�LJi
�o��m���m��
^<�W5�A��*SM�]����
L9��U7�2��9c��G�2
;,O�����+y�"�����L����5����#�:Y���l�|� P#�:�L����Gvs<?�_>1[Q;;��V��cXd�&�R��54� �(KU������G{��i��J5 =P��V��A^l/.�w��f 1*�����*�����CnX~q *��Y5�mv���uL����4B,l ��|�d��T��Rv��T�
*@R
��xvJ��$jk�A$l��R�����-�=�$f�M4�+B�R2`0H����'��m���E������u�y���2|�������<��
��
�����Y8��^ly.�2�����L�]�
���|�����fF�b���J
��C ��B$g�'�w$\7�-' �q9����Y�k��,n��c�����&�y�c+Zjo�D�K�p`!�Si��`P���3�Ue�����t4�_�w
�Lr�a�&��:�*
�\{��Y
������
�}�j����_�;r���Vv.b ������b��tP/�K"K�ZXZ��
-������W0��%�Tw��"]��
�T%��XNW}��z����T��v�J�
vd)
�2yL��/#L��!W���%cW�U
SZ��'�����&�|2��
�:�
���/W �����!�.�9n-��!��#������x� m��*��'�F���[l� M��=}��8�s���q�����1��v�����.2�vF�^��`+�I�*S!����2BV�b�+h���Q2�-<
���ekF�:�Yn�����K{��b�px�)�*K9�����X���B�6iK��[
c�
�����E[�S'5'd,����������.�`z�b��*�{k���E:����|K�p����ZL\���_q�z"�*�g�J��ra�E=���c�p�:87����S�x����b�*F��
����k^��T�� 8S,#��SX�[�/a�U�s���Y��r`~�a�
��<n[�PzD�)k��bd)k����,;
��c�|������ (<=)�LD��N����������D�+��������O�>i�yXe�Rf��X�h1�M:;8�*i>.�*�l���\���P�(��iJ�H�(���v1Z�
��f�B����(6�;P���e3�>�!�7�x;�qj{����f�M�\���A\g0�i�$ k[����$IIc-{���"s�tw���2�;�{
����<
�L�*&^ )�\+b�8Le�E�`��kM �q^�U!���>cWE�&5pw�����*;�h�(�&���G�����p C��������4��
}`�l1�����ra���������\�P�J�
l�l����viH1����}�q0�sZ���c�������f�<�,U��c125*y�1g��1�rX�7��: &����}<l��#��e
G��u��2���mF ��A��s�K���&>��C����CRl
��?�����7����b> TR����7��Z=2����7�?E�*���,5
B&����(�u��J3���J�Y|& x��
zU[�D��#����l�`�n��H��N�^�2�ff��b���L
_�U�vH�Cxb��7�hMV������D3 C�����Ud��m��5�#@�a�G�8��@Xz* �Yqmec�Lk�4�Nc���05__f�����9c_�
���FT&� c�$ ����$���;OW�4��<S�~�0����:��B3�=[&�����Kx
���NJ�Qx�m��Ds��Z�����oB>�k���\u�8��5f����3 !�,I�������t��j�rO�%
o�AU��e����'��������y����.����%�,SJ��r��bG�2����
+1e8m������6�F�+����j����]Chd�R(w�����[8X����\�
^��S1��A���$X��
Jrx���0�O�-f,!|�%���j{�0S&Y��b
��e�x/\Z��]/"��;K��&��jt�r&��
,
�a���7{��6#�G��h#,��<��3�R�
��G�Y��(In�!*��{�,�
6+z�!������~R��P��3�1H�|#fe]��l���IJ����j:XjV'��Xrm�ao�(�
�k4a]�
�L.�a!��k�S#k[��vv�N
���:����thi���
ZoVH3F�vL��]��xX�)l�
����t�������}s�������A��l�>T�YM�9X8+
�kG%_0{QM����\O���Y*s
<��#$��}|[7�-
���'�d�{L��yI.�J3�:�
>`��]B)F��3/���g��(<V���1�D`�xZlr���,�z�������,�I��
�R2��V�|����>WN(��K���*p�����
P��
M��#\3'e���LM1�
��;E�<2W���l�
�n����DjRVEk���MV.�)��3x�$��VV�3����K�d��,�"K�,s�*��������[����~��Z-~^p���i
�bt�&�8���P`�#�F�Vd��Tl�6z��)���$KU�e�+���rl3=�!r�
��j�;���:5c����!`���T���<�k�b �|��%q6�4l~E_#�y6��
�A�G�9v��t�n
dMF9s�ER�hg+��U���V"� ,c%��Y�+� ��~�����I�zTG�&�}.?-br��J�[�A��N��X;Q�����K�U�(�Y���C2�����
H���./����U7�Ig���`w��u.�c����C�gV�a���/��
1��8>�Z��`�|Mb��J�%;���h��al�C3��;�6�2���l�d�*��`����\D�2Dj�t
�?�����JL�G����+�rG�
.�!x������&�r#���j��Z2�0�����
@#/���9H����b����-�h�|RW���H��:X��6q4������f1�"�_Z���P���#^�X���*�<e7*�!2����,9��
�Q�d��� �m$/�����*�VVeg�kea����a�1�]3�c�K1�&q�=���`1�2
M�D� W����b
�$c_I5�w�<��Z"���R
��H�a������S��!����R�gQ��S�MBA�0��%�]{
�["
�HBA�Z����h��
���^�d�5���Ah`���%)�T3�%�Q �d�����&�������v<\���{I$����dw���p��2����BZC�,���tA���v����l"6�0:��2�����<�cd�L�JoW��f�{T�����M1`
%�\2�����T��J���R�i�#d��hX�������U�M9]�F��>�B����l�(/�mx�PM
;������L8� �������|F9�����&�cm=S����u#@�0u��c���
�H���!So�U��Z�9���"�YzI$�e�-��e�\@�����8�@�P��N���L������f�$��[��
�s!�`���
�DZ
+b��&\�����M���� �
9m�z����g�lq�pG�] P#|�I��
Sk:UM�������`������JM�T^��y���D�S)�d���C;41'����c
\aS@�
WNR�F�SI6���P1%�������P�!�\�|N-N���R!���4�H�<
R��m��3�
GUc���D��zX��
6�_���:
�'����L~��
s��;�(xr�d`"��ss�+
�Xf����!F4���]�r����G�6*�\���<7�����������W�xH6�qQ�nP�$J�h�������J����IJ�^�� t|���O�<
@�S�vR��I�<|F5/u"g
��
f��U�F�^��k�R,6���]a1yw��G�T`M�0U�N������`�����
�����m��Ft�@$�6��
���a�&��*i�s��h��RXIu;�E"�e��Z�)�m���LT�:u�t���q��B�rKpr��Z��zV������E
�e�+2%�+�%��R������+@�+i��h�(�d���p��-��
�Q�m|�&J�����\��q���e�>��V���W-�����9]T
�Y�{
T��4]W#�� �
c1������U�������gI��=�
����q�������:�xN��
Y"[�*����]cug�Q�V�\��(��(������t���cPyt���� �sP4��
&=q���c�#��S�9K��<J�N�CFZrl��`LZ���-���A}�e� ��� �����8w�9� ��N��#9CLt����
,
R8��|j�B���f�{�d��
5�2�s��W@��:����^�V�W
6 ���3
������{��_")
���s�E�cZ�:��]u��pv�
yf%�,����*��-{
�mg.{���u���yF �#��
{�1F�W+
XTa�
�t�B��
�8
�,��qC�h��>\�l�o%5�F�_ik�'��z�M5�#���a:e9&5�z���N�y� �W����*�����)a���7]>-�����_xrv|�P�����$��HN����J���~=P�n��>Oa�X��yu�/��*4yC�W��N.V���k���������E�����B��S�<=�X����
�����r~����g^]^�]���i�F��
]\>yy���������.6w��<��:���������W�
���\}�������1|}��{8:y�x:>�_=�Gg���c�b�{_��x�
�p|�m.s�7���M>���j(������7��G_|����i>
O�oo��7���f{}��77;������/��:-o|3TO���l���:�L�o�t�W�Z����U
N�7�<������7��:�:_]��G��������~r�ruquvvz~������d���.�o���W����^|ut���xu~�M
�(O9W
���KN�|�|�����tt��+OW������������ \X���v
q�����~//��r:�/~��]���67��/^����
f,f>��^16���.�uqu��}%f������G'N��'�������<?��?[���p~��\l�����h��������y��_��
����~�����8=K'�^�^��6]���{���{��
��|;�~�j;���w�K�i�}�����G���g������������������+�����~��X���{ >��1
����[�n]������k��
��G���{wT��=�|��������[����d�1������7�.�W+�{ss����
���O
�����hu�o�?�}����o��Yx������m��yy��"��;���?����X� ��v��?�7�����w����g������;�@w���� ��.�g�w�������gu���?y�t��/�>��u��������O������Y���?�������_W'�O�?[�y{�Ow�+��jb�|�huy���z��0yP���?y���t��?�
����u��|=�����;� ��W���p��{�����Wv�{�zp/o�/�}����~����~��r�qp�\� �~#������>�����7����?r��W^����� ���+�������
��|�u?��m�o\7�{����s��^}������9��|�
X�\���G��
��?�y�'���$�/}��<�!:�q���?DK8:�}��"}��tt����� �~�|���;�>g��������<����1k������h�K������\���z�;������xg]������?�����3����8���_�?��
��J��������7vc���5���Y�O���Z_`�8���`�^���������� �����Wx�/��C�����#��
�{����C?�������}����+�����7�����>|E9,9�
#�������?:�r4��7�
��}���P&8
�[G%��r#"�~�����p~y� ���MLJ��kW��������o�'���D�Ws��a �� ���z.����oN��J���l��q�������7�:8��@������NV�P���M����������?st2|��������^|��
�:/��7/���D�{/<���g�����W�����w~��� z~����������p��?�������Xw���s�/�
O�6���o�l
��g�H���[��g�� ����������n�
<F�?X�7b���\]gs����������
���b����%��
�����h�-"�� ���� ~��_}�A���ptr��Z}�7�
����?��������g�~���������qo�?3F_�;��?�X�=���
��f��V��k��`�~���L@�o�������~+�-j����i�[����c��H��#K�I�����^\�<O�������
���?��hO��O�.�0���������zu���w=}n�v��c)N_�^1!���������
^5}��c����m�z�����
��<��7������
����r����k��R��W|���#.{��qu�!RN���M-��'���������}��~�w����^X4��>��� � ?v�
_�����!�q�@��G�n~�1��xcm�����F�
1�� n���&����wvu������k���8�:?{�_
�d���������R��9MW/W��������/\ �]���^c�>��������7���D���%W�?���������tyu~B8������m�!�
'/���6��
������b����Ii� y�Ow�y�������'��f�ta���%�c�-p������W�,��=eL�����b����^b�u���n���_����9���[������� �������y5����U����+������������� �?�X���?���g�����/�|��/�}y��������_����/O�6��G��/����7v���{
W�z�V�2>qx���y����w�}g �_��Kx�K�%��z~��Z�)~���S���;�����z�����G���\���Q,������w���|ur��W��[}
��6O�7�����x������'/4N����������w}��vo<��<�<g<�������HdGq��>X{�����u3..���q���~+
�
����p�nn�r����:=:yp����c�;��P�{�S{7������=�9]�K�C@f����JS1����{;���{ �i��O�������V?����
����������[�BN�Yq��H��6�����t�@Ov�|���������o��^��\=�W�8v���* m������'��S8^}��N��gN�����\�y��<�tb���99b%\x���p7urv�����|�G
��y�Pi�~�����~������?~������g_|!���� ?���z��������~���U�
��m����#�X��W�n���G/O���W?��"n������.��?���(\���S�vz�W����
�����/���x�sz&���.}��������+8`�
�����?a��l���O�f�x�
������
����_/���������������O�p���{ �vW���k���x���zc��[�����������w_��o����tn�}��q������o�����_?x�M���or'_ yrr�K=<��Vz}��[�$�z'��K������[wza�-����up��ey�+l����]_����[�pY���C=r��9�7�^w�N������
�_?|���\i{����G7��;�/��������
yH�OCR~'��L�5_����5�C��{�z��n�6e>�&no<�f�nL�������<��4�i�.�bL����R|p�����������bs���f�z ������o�����@�~y����-o�-��S��7��X������yz�+y��T��o g3��������pd��v�
�]��7����rF� ���� N~�G����z
�v�� |��'���I�j����>|�#/!�{�>���q`'m3
9��9�}�u��:,�~���V�
���
i�qW��}���Rz�Z����~;'\W�5����/����7_�#��Q~aw���;|�K������?�~�/�[�,�+�z�
�����<^'K?������:]����][��������&O`w�l_X�Q�����7/���?��k���4q��f�_��z�W��l������o�������
X���\hE�{�����\����?���_~������?{����|x}H{d���u��?��^2�k\����� 7�b��n
|���o>�,g�V?=�:��n�f����;�v��k�~�=fy���i���P0�[���{�������W����kG_�y�2���y���h�y����C���w����U�?{=�����0���h������w�a���
�{���\��y1o�}����>}���}�S������/�����?1��7�J��G����X�������$�_�������Gx���U����� ������{����8�}�z�'��}��*��
g�/�Y�7~#���t���������7~���6�����z������E>z�^����_H61�����;��i�w.�������p���y���� y������_���������C���Z��M�|����xw}���Y�|U�N�}��_��?]�s��F��CsB�uw?�_7���E�����;�hW �E�w�S���C��_���_�G\����u�����c��g�A���w�>{{�����S���$�q�&n��&f�:<�������f������G����������|�k���6^/��W������\�
���c���.~m
��+�����
pY~w{N;=|�=�_�h���W�_�j��k���}���m?�������~�E.���|?��_�{����������}Uy��sZ�e��eA..�t~�h����� �?�w� �et�������
H�/�Mz���7��Xv
������X&����]�����n��
�
n����yj��e������� ��g�������
y
�~�ks�o
����1$�z,r�z�[s����p7�}x��n�|����3_o��Z��w_���{����wow��ow�����������Xrg�.�1�#�O�m��2��|��������l�o}��5|m)�t�
�� ���v
���[��1=L'�>������e
��H�������g��{
�"�����wv�}��7_����#�T
��@�_�
���:��W��������sr8��O2K��y����q��7gq��vbvQ��9����'o�����&p��G��k�M�������w�a�~�o�|�����������������|��;��7.�hu��{�{o��Vw/������Ow%����SW)� ��y�x�L��.N����O7���E�W���q�:�z�d���r�2�d?�kk��n�����_lR�����E����S������[���v}�������uND������G�w�E�4�z�������^�B��o�����>�����{�7���h��C�g���u'�_7�����_��}vzqt�
��7�*��3��������k �$_����wn�goX��A��]���7w��on���4��=v��w�y��o^��6�y�G���q��v��C7�ps��
������^������*�;�}r���U8�L�����Sz7Y��7
��I���x�F�k�:��b/t��)������
b���|^�(������>��wr{�7_�����!��a�_��2���~���F��j����?,�|�73�y�X6w�����xS��7�����./
�/lP�������?��w{�����]������8��p�������_=��6���z�����������H���������~�W7����0o]k�M���*��-�z��[_0�&��������\������]�AYj�gx��_��@7���
����_��������w@�g�k}�z�
5��=����|}�|��E���M�{��,��S�^}�
�lZ�;N2q���r���
��G �h�����M�� �����^�2��}��
�r|�����8��V����fr����}�g� �c�q��
4����A�6��oRwF��C�l�~wo2��]t�W�s�Y �����o����o����\?��������M�����g
X�w��wq�C��wx���y��~��������M�9g?���;��M�r����v+���v�fsw{�u�����;o��w��w���mB����^��U��gv���\�vh����
=�us��������
��Cq���q=8���4��ww�~7�YO����
��
��������Gj7T\�;��f�t��6���_�\���]��QfC���^���
W{}R����zl]����3e�����z�&x~���n����|��w
������������W������k����}�37A�� �������D�������q�'=$d��}��w�;�y��~��y�����O\t�����K�
jk#�LZ�R���O��Ls�����x}�����5w�@*Y������>�/s�����r�7��
�}��o��o-�����������{c�6qs� !.�@��g�Q!�_�R67s��~w��#��
P������R�
�
5����.Hy�����H�KF�.P�K
���F��\����s�
���m�~�k;`-��-4=�J�h �!�����W�VO��I����7G�Qz�7-key.difftext/x-diff; charset=us-asciiDownload
From b3251edebfac62c095d973189a652c3925db4a24 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Mon, 25 Jan 2021 14:15:57 -0500
Subject: [PATCH] key squash commit
---
doc/src/sgml/database-encryption.sgml (new) | 124 ++++++++++++++++++++
doc/src/sgml/filelist.sgml | 1 +
doc/src/sgml/installation.sgml | 5 +-
doc/src/sgml/postgres.sgml | 1 +
4 files changed, 129 insertions(+), 2 deletions(-)
diff --git a/doc/src/sgml/database-encryption.sgml b/doc/src/sgml/database-encryption.sgml
new file mode 100644
index 0000000000..e8e1e69ec7
--- /dev/null
+++ b/doc/src/sgml/database-encryption.sgml
@@ -0,0 +1,124 @@
+<!-- doc/src/sgml/database-encryption.sgml -->
+
+<chapter id="database-file-encryption">
+ <title>Cluster File Encryption</title>
+
+ <indexterm zone="database-file-encryption">
+ <primary>Cluster File Encryption</primary>
+ </indexterm>
+
+ <para>
+ The purpose of cluster file encryption is to prevent users with read
+ access to the directories used to store database files and write-ahead
+ log files from being able to access the data stored in those files.
+ For example, when using cluster file encryption, users who have read
+ access to the cluster directories for backup purposes will not be able
+ to decrypt the data stored in these files. It also protects against
+ decrypted data access after media theft.
+ </para>
+
+ <para>
+ File system write access can allow for unauthorized file system data
+ decryption if the writes can be used to weaken the system's security
+ and this weakened system is later supplied with externally-stored keys.
+ This also does not protect from users who have read access to system
+ memory.
+ </para>
+
+ <para>
+ Cluster file encryption uses two levels of encryption. The first level
+ is data encryption keys, specifically keys zero and one. Key zero is
+ the key used to encrypt database heap and index files which are stored in
+ the file system, plus temporary files created during database operation.
+ Key one is used to encrypt write-ahead log (WAL) files. Two different
+ keys are used so that primary and standby servers can use different zero
+ (heap/index/temp) keys, but the same one (WAL) key, so that these keys
+ can (in a future release) be rotated by switching the primary to the
+ standby and then changing the WAL key.
+ </para>
+
+ <para>
+ The second level of encryption is a key used to encrypt first-level
+ keys. This type of key is often referred to as a Key Encryption Key
+ (<acronym>KEK</acronym>). This key is <emphasis>not</emphasis> stored
+ in the file system, but provided at <command>initdb</command> time and
+ each time the server is started. This key prevents anyone with access
+ to the database directories from decrypting the data because they do
+ not know the second-level key which encrypted the first-level keys
+ which encrypted the database cluster files. This key can be easily
+ changed via <command>pg_alterckey</command> without requiring any
+ changes to the the data files or <command>WAL</command> files, which
+ are encrypted with the data keys.
+ </para>
+
+ <sect1 id="encryption-file-encryption">
+ <title>Initialization</title>
+
+ <para>
+ Cluster file encryption is enabled when
+ <productname>PostgreSQL</productname> is built
+ with <literal>--with-openssl</literal> and <xref
+ linkend="app-initdb-cluster-key-command"/> is specified
+ during <command>initdb</command>. The cluster key
+ provided by the <option>--cluster-key-command</option>
+ option during <command>initdb</command> and the one generated
+ by <xref linkend="guc-cluster-key-command"/> in the
+ <filename>postgresql.conf</filename> must match for the database
+ cluster to start. Note that the cluster key command
+ passed to <command>initdb</command> must return a key of
+ 64 hexadecimal characters. For example:
+<programlisting>
+initdb -D dbname --cluster-key-command='ckey_passphrase.sh'
+</programlisting>
+ </para>
+ </sect1>
+
+ <sect1 id="key-encryption-key">
+ <title>Internals</title>
+
+ <para>
+ During the <command>initdb</command> process, if
+ <option>--cluster-key-command</option> is specified, two data-level
+ encryption keys are created. These two keys are then encrypted with
+ the key encryption key (KEK) supplied by the cluster key command before
+ being stored in the database directory. The key or passphrase that
+ derives the key must be supplied from the terminal or stored in a
+ trusted key store, such as key vault software or a hardware security
+ module.
+ </para>
+
+ <para>
+ If the <productname>PostgreSQL</productname> server has
+ been initialized to require a cluster key, each time the
+ server starts the <filename>postgresql.conf</filename>
+ <varname>cluster_key_command</varname> command will be executed
+ and the cluster key retrieved. The data encryption keys in the
+ <filename>pg_cryptokeys</filename> directory will then be decrypted
+ using the supplied key and integrity-checked to ensure it matches the
+ initdb-supplied key. (If this check fails, the server will refuse
+ to start.) The cluster encryption key will then be removed from
+ system memory. The decrypted data encryption keys will remain in
+ shared memory until the server is stopped.
+ </para>
+
+ <para>
+ The data encryption keys are randomly generated and can be 128, 192,
+ or 256-bits in length, depending on whether <literal>AES128</literal>,
+ <literal>AES192</literal>, or <literal>AES256</literal> is specified.
+ They are encrypted by the key encryption key (KEK) using Advanced
+ Encryption Standard (<acronym>AES256</acronym>) encryption in Key
+ Wrap Padded Mode, which also provides KEK authentication; see <ulink
+ url="https://tools.ietf.org/html/rfc5649">RFC 5649</ulink>. While
+ 128-bit encryption is sufficient for most sites, 256-bit encryption
+ is thought to be more immune to future quantum cryptographic attacks
+ </para>
+
+ <para>.
+ If you prefer to create the random keys on your own, you can create
+ a empty directory with a <filename>pg_cryptokeys/live</filename>
+ subdirectory, generate the keys there using your tools. and use the
+ <command>initdb</command> <option>--copy-encryption-keys</option>
+ to copy those keys into the newly-created cluster.
+ </para>
+ </sect1>
+</chapter>
diff --git a/doc/src/sgml/filelist.sgml b/doc/src/sgml/filelist.sgml
index 38e8aa0bbf..b96f4ace6c 100644
--- a/doc/src/sgml/filelist.sgml
+++ b/doc/src/sgml/filelist.sgml
@@ -49,6 +49,7 @@
<!ENTITY wal SYSTEM "wal.sgml">
<!ENTITY logical-replication SYSTEM "logical-replication.sgml">
<!ENTITY jit SYSTEM "jit.sgml">
+<!ENTITY database-encryption SYSTEM "database-encryption.sgml">
<!-- programmer's guide -->
<!ENTITY bgworker SYSTEM "bgworker.sgml">
diff --git a/doc/src/sgml/installation.sgml b/doc/src/sgml/installation.sgml
index a53389b728..a1473bbf8d 100644
--- a/doc/src/sgml/installation.sgml
+++ b/doc/src/sgml/installation.sgml
@@ -976,8 +976,9 @@ build-postgresql:
<listitem>
<para>
Build with support for <acronym>SSL</acronym> (encrypted)
- connections. This requires the <productname>OpenSSL</productname>
- package to be installed. <filename>configure</filename> will check
+ connections and cluster file encryption. This requires the
+ <productname>OpenSSL</productname> package to be installed.
+ <filename>configure</filename> will check
for the required header files and libraries to make sure that
your <productname>OpenSSL</productname> installation is sufficient
before proceeding.
diff --git a/doc/src/sgml/postgres.sgml b/doc/src/sgml/postgres.sgml
index 730d5fdc34..0ea7da604b 100644
--- a/doc/src/sgml/postgres.sgml
+++ b/doc/src/sgml/postgres.sgml
@@ -171,6 +171,7 @@ break is not needed in a wider output rendering.
&wal;
&logical-replication;
&jit;
+ &database-encryption;
®ress;
</part>
--
2.20.1
In patch 1,
* The docs are not clear on what happens if --auth-prompt is not given
but an auth prompt is required for the program to work. Should it exit
with a status other than 0?
* BootStrapKmgr claims it is called by initdb, but that doesn't seem to
be the case.
* Also, BootStrapKmgr is the only one that checks USE_OPENSSL; what if a
with-openssl build inits the datadir, and then a non-openssl runs it?
What if it's the other way around? I think you'd get a failure in
stat() ...
* ... oh, KMGR_DIR_PID is used but not defined anywhere. Is it defined
in some later commit? If so, then I think you've chosen to split the
patch series wrong.
May I suggest to use "git format-patch" to produce the patch files? When
working with a series like this, trying to do patch handling manually
like you seem to be doing, is much more time-consuming and error prone.
For example, with a branch containing individual commits, you could use
git rebase -i origin/master -x "make install check-world"
or similar, so that each commit is built and tested individually.
--
�lvaro Herrera Valdivia, Chile
Al principio era UNIX, y UNIX habl� y dijo: "Hello world\n".
No dijo "Hello New Jersey\n", ni "Hello USA\n".
On Mon, Jan 25, 2021 at 08:12:01PM -0300, �lvaro Herrera wrote:
In patch 1,
* The docs are not clear on what happens if --auth-prompt is not given
but an auth prompt is required for the program to work. Should it exit
with a status other than 0?
Uh, I think the docs talk about this:
It can prompt from the terminal if
option>--authprompt</option> is used. In the parameter
value, <literal>%R</literal> is replaced by a file descriptor
number opened to the terminal that started the server. A file
descriptor is only available if enabled at server start via
<option>-R</option>. If <literal>%R</literal> is specified and
no file descriptor is available, the server will not start.
The code is:
case 'R':
{
char fd_str[20];
if (terminal_fd == -1)
{
ereport(ERROR,
(errcode(ERRCODE_INTERNAL_ERROR),
errmsg("cluster key command referenced %%R, but --authprompt not specified")));
}
Does that help?
* BootStrapKmgr claims it is called by initdb, but that doesn't seem to
be the case.
Well, initdb starts the postmaster in --boot mode, and that calls
BootStrapKmgr(). Does that help?
* Also, BootStrapKmgr is the only one that checks USE_OPENSSL; what if a
with-openssl build inits the datadir, and then a non-openssl runs it?
What if it's the other way around? I think you'd get a failure in
stat() ...
Wow, I never considered that. I have added a check to InitializeKmgr().
Thanks.
* ... oh, KMGR_DIR_PID is used but not defined anywhere. Is it defined
in some later commit? If so, then I think you've chosen to split the
patch series wrong.
OK, fixed. It is in include/common/kmgr_utils.c, which was in #3.
May I suggest to use "git format-patch" to produce the patch files? When
working with a series like this, trying to do patch handling manually
like you seem to be doing, is much more time-consuming and error prone.
For example, with a branch containing individual commits, you could use
git rebase -i origin/master -x "make install check-world"
or similar, so that each commit is built and tested individually.
I used "git format-patch". Are you asking for seven commits that then
generate seven files via one format-patch run? Or is the primary issue
that you want compile testing for each patch?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Mon, Jan 25, 2021 at 07:09:44PM -0500, Bruce Momjian wrote:
May I suggest to use "git format-patch" to produce the patch files? When
working with a series like this, trying to do patch handling manually
like you seem to be doing, is much more time-consuming and error prone.
For example, with a branch containing individual commits, you could use
git rebase -i origin/master -x "make install check-world"
or similar, so that each commit is built and tested individually.I used "git format-patch". Are you asking for seven commits that then
generate seven files via one format-patch run? Or is the primary issue
that you want compile testing for each patch?
The attached patch meets both criteria. I also clarified the README on
how initdb calls those functions.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
On Mon, Jan 25, 2021 at 10:27:18PM -0500, Bruce Momjian wrote:
On Mon, Jan 25, 2021 at 07:09:44PM -0500, Bruce Momjian wrote:
May I suggest to use "git format-patch" to produce the patch files? When
working with a series like this, trying to do patch handling manually
like you seem to be doing, is much more time-consuming and error prone.
For example, with a branch containing individual commits, you could use
git rebase -i origin/master -x "make install check-world"
or similar, so that each commit is built and tested individually.I used "git format-patch". Are you asking for seven commits that then
generate seven files via one format-patch run? Or is the primary issue
that you want compile testing for each patch?The attached patch meets both criteria. I also clarified the README on
how initdb calls those functions.
This version fixes OpenSSL detection and improves docs for initdb
interactions.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
key.diff.gzapplication/gzipDownload
��?`�key.diff��\�s�F����+fi��B�/=-KJI^k�<QW*N�@`(b
��������0 A�r�\�nU�-3=�=���g�Q8;�ho{k�;�������l��;;���u7�����pk�����09�]���� ��v{� �/~�RGb����
��!}�a�>����vj'r_\��%�;� ���{�������7����vk�t�O�$������'/E����p��4 E�[j�c������j�e��:�8��������n�����w,�#���T�6��O2p;j����
y�������*z{�Y9������Y�$���M+VN����}��q;�'SceL�����v�4��"��bN���3Q5oj��t
����K����y7WA8���%I��jFi��i<q���Q��O����,Q�V�u3�S� ��{$6D�����SWv�����x�����j[��*6un"1~�&� /L��g����LC��yf_�joS�������t[�i<��XF��zs���+}�
X����F����D���^3\�����,��{;[�����n�����{�R�����-r�;�� �]+����z[�{�
$�_6{����E�&��F-��D�"�x"�X��t������������he�/����
�b����F^���
��<�$N0��\��4�1I~F ���z E'W�n[��@���Ld$nl�������� =�
t���{A'�S�v�+�3a��p2M�<x���&d�dFa$���~n
.��aboCPJ����\ ��~A ��!��
�
��t�)�l�8C((�XY��D�v%�u"�x>1H�����@���z�)�
Q>"FD8�_���8��
�v��5��������%�A��:�Y��&^��z���A8%G;�,;M�j�AG?��r�$
�qQ��9��������� ��!,-���c��9����C��K���n�h�dA��M������= i/d@����1
EV�xv�V.r]�F������F
\C�p^b�3�2da��-'���4k0����NZ.��������
�
�+H���w�_A��������o��A��������#����J��
�.���$��C��}�
k�i5p
�3#���I����c�-YE�c`�/(h�l��F�0��M`I��J�:�\�����B�W�d
B�R*�
�t0���� ��c��5
S��FJr�Gk���g��
�,WZ��A' al�-��a��\�,'�b�X
jwS'aj��8����?^cS��/l�Mn����a9������
��iu�������Q�
�����T-����E&{��=�^_)����V���N��6��*����B�,LP
Gl��
V�}��b?��M����|Lb�
!
����)XN�l.
����9e[��g�V�
���j������Q
��{����������}pcG�Z&gv�������� ����rX�
Z��C�c6�4�j������ ��"�m�t�N`?����y�)K& -I�5�U"���t��T��3���c3l\^��CUt�Og,&��8��*����7%d��Ba�SR��"�U������q�*���q��@P��o����F�
���%
�����RK�w����*�j.�j�n|���q�,�#q��#���<�.�����U;SRsK�������j��-8�ED� ��������=�J;[#N���Yd����Z��x�F4:����]2����sf��o����K�����
p}�����D1�A.Kz��
8�O�s�����HK9�%.e��u
�/������_P�;�G
t�kD�f����y����
��W�N
�Q-$wK�x]|���)���~E���}�a���� X1�����l�H�x
��
�
p]��r�@J�&v4[u�r����R���/�Y\
�>����K��DW�B�}9�FDS&��cF��)�=Z����~A2���*���%�,D^����/%l ��<�`�S�Q��e`��8W��z>p�1��
�LH
���2�[�Ub5f���<y�6��a�aeA��f��ee����� u\U��\O��g��z�\���z� �u����f�5v�)��)�6=��Yq�r�$���
��� d�M[���u
T�
�����j ��n��b,& Y,���3����:��X�-��T"��%�����^K`���wU��RU��[�`���P"P��9��#J����c>ki�X����c�&��B
"�rtI
��/#
F49P��_g��pR������{�U�:���P��A�y"NU��hR0<~���$x�lww�����A�s�{������8����I���Bk�_��`D���G�x���`$y�m�@T�@� ai
�l�"�a����b��
�
�V_��C
�}�=Y���5�
X���0J��+��V�<����a0f:^<���,�L�5DG�� ��Qrx6a��#�YI�5P���hg!#��)�������k�9;��h@����
m)c�J��w
��z[
��2b$;,T�����v���;�n���'�
W�t���������-���z{��Z����~@
D�~�O.:Y�"kz��������'�������w ���"��f�R�B��b2 �W���]5�����ZS7���9d�7!c�}�8���� �1�����#>��a�f�r6���=�t���;�V���jen�;�G���_��4}��v����t5j��� R
�����N)��QpV��V��G cP��j�;j�6-t
9c�$�H6o/�
�_�V��w�
�����;�g�0�M���o�Y��f����SL�_Y��Z3�A���"BNn
��@(Pr�ak5h6���K�
Q�724$g��\H���=����n�k�E��F~�$�
�kEKW����
6Ii�xb��������Z^����7m�UH�+��������FP�(u���������9Rv�����FI�_�}V�Uu�{@|���n��w�jMS��a���clw$Q��0d��aULNk*'/�[
�Z�<W
R$�V�
����������Z
^�
�5�
��r
��
(!
H�i�
D
��4>R���[Yl F�C
o>��H�>-UIL;�=���>���v>
[E�<��x����e�k
5@���`�����_p��.�����?�����xo_�����
��B$���x���
J�����
�[J�t�4�}������g�6������)��x�f��HT|�}��k_lV�?���R���
���C��G��m+��B=b]50���op"�+1��
�o�7\�x�<��s��#a V�C2Q=��0������_�s��?���zi[��|�0�s��#���R"��G��T�&�ect���&��JR:O
��>�y8�K�S�8���eTt.8���d�l���n�z�a,B��P���%��S(^���N�WL'���������`��V�Z��u��2�l�s����).��SE�Q,�Zf�|�n�3�`%���6Z�ZJ�9!���1�8�
h�u`�d��0�����m�2�f6f �
�(K]�-�\��e��g�/5�kM��I�D���p��i
�S���G���
�q��>�>����4 R��`}�<|�����ke��V4Ym�"V���"_
g��9T�I~OTn�[��O�6��b��� ���y�������XO�<
F
NgfW��������B�,s�,��$��L��V��
��������q��^�0�E�z#5���N�^A�B
� ����&�Z���R�>��t*V��\LyU�Hc���������
��2c7
��g�F���"YH
E��
�k�w��$�s-��s���^f�����.&�a������`��m}���sL��]U�B��/��&��v�������Erf���R
���t2X]��N��`�������@�����d���P;�8M����}�X�����iq��e��
w����������m����
����, �MK��� b��R�{�h?2r-�=y}�6�{;�n����>; � <�)���� �����h����2��o���������nF���Q_{\����U<}*�3E�!���b�+>��� �u�;z��9t��#���
mS�{rAp�����V A��E��rX_����� K�#<������� V����y��l����"�+���0/?n)�2�����������C^��������
Q�z
�v��%i�����G�
�\���
�����
�Ym�Q-�#���U� ����YN�D�
��F@@�z�������������5�c5�$R��3��|�����.�>zy<xy����f�}�%i�'qc�t��������)���t��
@]�m���F=@�G$������� ��QR\�zk�^]s��1�=�w(���S�[f����y���t�
�>'{a������&�g��G����p���e�V�V�L����y3i+di�JZ�D�z�>�l���N��#K���#��82��#6����*^t��
�1�~5�Tz-����l,��!o�2o{4�X��I�D?�3\��`�Z�&���|������(.�;v2GU��$�v�E�4��[fe�2�F
���$��� l���8<D`�/u�dm��$����*���<��]5a>s�{�����|P�\X��������6�+�M�R��WV���
�8S����I�B��R)4
S��i{���X�nhi�MdAM_*��Jge�B�"�uD��b~�f��[zo�&�w��q�Lc����m[�n��u���,��
��>`�������
�IQ��������!"03��<$�#���d�kU� d�D�xQp'/;��/��y���S3���8-���;5x_$�H���X;�>T��I�����>�_?��5�Dy��Y���F���j���X'(z,V��SV
G�
)��" f
���
��~6�3�y�:z��G�S�L��������z��wk�
�����8�\�=y[d�`a1I-��X�m����j����h�+��������%�x�}_<4n�-�����Z`��^!��_=
��"D��_5�?
V
�'F���}_�2mf0z�o+Z����;����_��;�pq��noo���kK�@��X�<����s0M����
�rjn���f����_�������N��<S�(Y����]I�
5��d��%��:�z�Z�'��O���D�
�� "1w�B�I%J_L3�ch������{L�c
I����K�'X��~2�"�t<Z��q��q�8E?���tN��c�?]ae�Z����/���_��2���$uV�#�p�2�v����ss" @�H?t>e�����
�O��`p�-C���~�����5I����ht�71��
^�C<W����L$Xm�L�F]k �=%�RG��]�2�c�c�|�����jC�wP*�Y����V�Fw��62%f��������cv��OW`���}�m���
v�IO�H@
�����%����4��apM�����i��mT�
�8;��='�a9��Jb#������yK�n������z,>�QP��vl�]�$���
A6�ZfR[�7�����)�p|��������X���*E'�?+��p��C�&����
�v�
�Y����t�<A�r�a#
��5��k;P��Ww�n��M�(���Z��B��th:���k�����;Y_���h�#+n�=�f��l2K,&���h1s���0�! �� �����q�����!�R����3�l��buqJR�$3��o������W|S�T�� �b�.�W���Jp�[�?�Y�9����+��7.]��BZB|��q����\c��]���\�OGg�EC�����u���n� H��<�r���8������Wn5��D��i/sm�G_����:�
��R ���(rn�� *T���
�o@�4)���1��2f����:���x�\0������T�2+1�z�*���!��������4}cn�����w_'}p��B��_ �e�B���K���e�j�B�0>���2�#B��
�m�t�
�wX[������a���8�uq�o�SL��&-.�/��\��e
K�.I�����7+��$�������S�= $��9�
9�H��������k�m���<� ��:!��R��84�t:�k�
\�������'�#���
J�o����`��c�LD��j�
Mm�T�����[�$�h?�q~��4�N�]���]GE��3����#
�6������:w�������$����%K�����[O$�
�K8�4�/�������l�g��� �d��7�����y��f���@
������G��o���
���
������|
`��j���
�s���:C�D ����_u
��l;�=/�z�(��������L;��f��R�����^
��OgihK���%_�o�%�������Ly�1�������x�Y����3�6*f��������d���'�0��(+�d���>������
�7��%
�����������/�� ��~zp��o�
���
�����y���
����Qc����9�������/���={@W����p
:��{3�����U�0A}��`}�<7�,d ����uC�i6<�J�z����Ds)�-��^��
�t{�w������??�8���P1�
0����9t�g�+)��������o�����3�i�S�a��m�S����`�%j�
�q����'�T
MQ�jx�H�~����I�V��Ax��h������JZ&�LtqSC���]3p��u�;����
�=�T����w�?���:\��
�3HV� @E/��<<�����Y�
Y�����6��7�����Z��Ci/
X�����
����g���;=;~������0�v����#��xb�:;
��<~YK�:��
[���'�;��6�����D����������WO�Z
I�m��b������+
�+�ELF�
��r��5x���0�4/����X���#(�|���.��5��%V��Jf���m����
A��-�ov-~��VM
;�l�����������l�������1����
�
�R�m��mC�������V�ea���U :#�hf����i
������;�MYNG7�C�A8�^����&h��v�^&�eO
�W�������b�t��S�]7O���-��n�����Yk�e�7�����D ��k:�v�TZ�&g���t'1M�,Ey9+�D�l]��7�:�N����K2kl[-{[f1p���5�F+9�P���ia�����c]�T�
��X� 7�O��J�Ow���"���I9_
�[��jq�~,�F��t��tZU
���.��k�/���
��M�Z��il�{��m�JZ[BF��s�S�N����Y������|�����b�5+����u���r��������yT5������q�>��J�J�����?L���=hY8��o��XCC�?�S����n��d����O�%��
-�
{�*�VK�]�+#q�7�J���2�j:M!����:���
;���.��_h����xyq$I���l,`��/��b-���x�5E�
P��In�
�A`T����5s�z�dt����X�����7���R��1�AoX����z/�L��&���L���D6��3<u8��dh ��
O-
W��c�/_=�G���<�������O��!���� +���>��w�_��/��ha{�_���n�>PL�!�8��!-`A���p����^6���.����x��z
:c�T��
i��,�$�����w�!�y 6`�
��:g����������0X��-u�����(� [<K��U;V�.k�r���8��O����������D�f��f����HM�\�f�
��� ��� BS��C�\p7P�&��U��> �/�v~|f�����(f�M t���������#���t����cabB8��v�
r��w�O�j���v������\
�^��)Wvt��K�foq1�iy5y�#� P�AR���,s���>r
�>�u���p����~��R�{�p`eyk����f]��E\9���nH���A�q?i�����)��N�dO�����5oy��k�U bB�d�r���wg
�9���y5�!`�i���9�zv��5vS2�I���T1�F�ZD�j�D
�1
��6j�'aa��l�������t�_,a�z�c'�����Vc
��OB-�'o�^��:Z���
>{�x������1�2~ul��Z��e���B\13��
��i3��B`r��hN�����$��t����V������t��zGy
4+����%x��Qm�Ty&M
Z���)�u�Z*��
������g��m�"
,��~�F��EYE�o ,l��[�}u
���A ^��!����K?����m.�,huw���
0��nH�������j����V���m��T�����Q����r�]e`�Oe���X��S�o-#*yL'����5��*[j�3-(��&����L�tVbz�������MU]S� k������������*��=�Z����}���SP� [g��\ 8JZ�������wk�������5���_��t6zz����{����������^�5�������8Z]_l�X-�����^>}��M��>��_�21}z�_��+N$��X�
e��?
O-enZ��`���l�mE
�������M7o��*?�h������D���m
���cU3�le(���vV{�M�X����&Ed����T����) ���:o��5�KM��'�����)���9=v�6�]FgM&�]�hN�C
<�ql.�=�f����Z�Rg�V�����z���&��I
���)oz��M�BXX���1�B i��/k��%����.IZ�g8J���g�F�B6^�";�] �M�'�����j���=L�o�6�S��8$��
P�&-��2,}�
��1c��l�~F�V�F�
O��������i�o�s���V�>n�-��\� k�`4�m��u���P�k�a��q����+��V_�>Q�X��&��������No���,��6�3a�w�Cv^��3��i�
�
����p��]T���e��ev�A+p��
^k����b�h�%����/Sc�x:��X�^N':��s��>(�1��TF�u?V�V}���a�d�M
�w
����h�]��T\����u���
��h��Z���n�ow�2[
}o�\5��BX���D������2��L�I�R���i{�Cnc���r
��Z�s��Qz]xn �D@��6Ts�y:�a�9���c�*�|BX<8ir}1RO[ukR=G��p���}�;p�����z�m���
��p�
�c��
�����v���]���N�}�/1�8m���,Q3m8�f���{��+�MU<0�~cc�(���i���M���y��e�v����2��s�B�^�=�>����?
A�:����?z� ^>}��������R�
z�&����8���
�H
eDU{$���������=~q>2�&��N�� 7W��(
�������_D�i�~��73��o��������"������4*�N�.wW�����s1
g3��'g/�����[i5�u�Z�����Wi}�
���G����T�w�96@)�]�zy����������\��&�+���
�#������Y�]I�Z�w��/k�v�7/���)�t����o��!��p!�����*X���,o��
u������\�^�����uo�Gai�I�-=����:�����
��c����2�LU|�L��r�c������ *���7�m�J�6 u����Y���5>Ti�� J��{�&�M_V��onzQn�)�2��������8���@����bln���qy1�x-%�`�1]�Y�b��d����G0�A���zKwL�t��o����}�;�lf��s�:^��
��A1~�>{�5c7{���t�|r�
��^��7��[g��/�����:�n��1����������N���A(���{�A(����{�U�������B���4K��fx}�G���"�����U�J���'j�{��N-z���\;m=�v�����Ll�������������oFgO��17!\��q������G���)x��K�QG��[-�`��K�i+�i��,� ������G�*��tA����/�f��IN�v;tO%�_�~�
B���G�����
O4/g�b�������;�{���;�������De���{O
�l����7��2O/����6/��M���g�����[�Y����G����������k����m�G
�Rg����k���3�B�
��%������H�a8�n�.h
� �?Z��b�[Z�1���d�+��#�����G� -�%h�?�?Q������ggmH��t ������
ht���J��3H��0�>�=>={z�B��%<��%�:�re's��z�]�P�
~s�����������>G�2���:�&{7Rn�<���m?�v�e@��i��N�]��3���I�;
��[�>,�V���^���/K&5o���en�y�jq�-9|j��-�Q���OD��cm���-<�}O[�
����dp��!�>
�
?�:���w����}�`7'���o����������<]�R
u7��S>P
��;l,�]��brk<��0��E�X7�tU�W
����A�8��Q+.d�R������
[�
��`��K~�[`=O_�^��;@�3�Vu���Z�,,@�f�JI.�^�h�l}N=@�4M
uts���2P�k2�� ��������Ip
-�Lo6�(?��:��*E�<�8>h�������������U^J3p����J�}�z?7T�s�UW�|+��ZU�Nse�����VQt�
D���2p��n�����r�3Mz>��tv���g����������s��~
LpP;�.l��hRw�3`�j��z���Lo(����=�uqG����L���9y�p
����z>:~qt����?4z~|�����
�i�����s�9�������V��<>�����;� oqrQ����il��-������zAC��Y �����%
��N
����
�b�u���[�����Q�
W�u�����q����f��^T��{&���R#"��i�?w��b�u�k������C ��{������fQ�h���JE;UT ���[W��*�����P$:��T7�c������g^�
��G�wb������]��������8)7���%�����#1$G�:K�Fu�Q
��63e�R/�Iz
t
cqY���z-���Z��;0-�F-?�rDqX��{�����w�+:��y�AX&n�gQeW��UP^\�N�'A�~�Y�!�����p� a��n�/!�K4���P�a�_����u�v����t^
X���onh���X�s��A�s���������� �?
}m���O�" k���t�Z~����������.�.�5������������hB|��\
���aS��T�sn��i��4AS�3�~�/A��~�|'���tzh���[��[�C� �"L���C����fo���?��%�i�������c�#}���r}A�J����T�m�>t;G�������{]q�|����i�����Y�%{{y������c��`U�Z$,��"!�vB�>�v�i�z:/��Y�Cp���G �&����{�^��\g� MJ ��JE�?�W
��
�O'o��������������
u
����N��5�!�G��
�]
�
B��Z�-�p���E�k
t�^A��(P�8�*��O518�S������^��a�^u�a����!�. �G���/��ltt����
�
��{���fo"?�}6�fO����i1�_�o�N�����d���y�r|��.�ifKU�\�H�G>�Pbw�zz��8��`�Y�������-Z�
���yW���u���B��cI��7��|�O.{ +|
>�|q��{��]/<��N���������l6����0��4J�4����~���r�:���L��j�+����9�����e���� �)T�����sI_�$���]�vTi|X_���9��}�������(��|:�n���z����'���
�����w��\����������r�����\{�*�xj��v\�yq�V����.}���A��Yq�t��w��
���~����nu(�����]
��u��U#��
�s�����~�m����7�����k���h�.���5[z�� <�e��kR������T'Hc�[�����C�!T@V/
�����am�����P1�S�L
�_��k{��
�N�������.�?��g-�S����������:�.m�� �����D
Mb#��L@BN�7[V����c�BR7D���
��a�����v���0?��p��j�
��T�9����z��}�"����8m���$��]S��~���N���S���`�>��|��~d5��m������c*��(o�
Fne������=�s�T��H�� ��w���S��
N�|�cG��a���,�3��g������03m�]Q��]��Y�nl�����{�=�v��M�
������7�v�������0CT��d<�*��T��R{�T�37*��Rt�m�tg��{��3Ry@[o�d����ev(�M7�|��~R(�U\��7
�����`���uM�7��
��/[�
M
���VW0�����
����n�
4�#����-��~K��
%����M�5�7��*� 0���h=����ZM�k�c�v��2�T�C��
O�4��u��t�S�{�6��j��2�� ����oNF]���t��R9���f�|n��aF�u��m:�?T�y���}�/�9��6��|��P��/nU)V)� ��o���r���
�R�V��8��L#��
���%�g���c/���N+�Pa5�����(=N����[������*2:;> =�V�q�=S+�f�J�x��M��^o����qT����t�
�Y�B�&mo����M�K�M9��['����d���1�a��)DT�N�:���t��:�������`���g��i
iGOB��E�����T��%�)��
��~�-�v5�e#�C�c��
�Z�fyc�8��Z���W����q�T�����:S�bc�u��
��
���h��������O�J�'�
�}��GI�E�3(��L����V�%r��S�5M>H�u���f�bS3����)LtN��%��c����
`��-�J�a�
I�p�G����YQ.�f���;�Y3���L�-�Z���Y����@{��,[���<@(��d��Y�����k ;��Y������Pj�����.o��,K�p6�G�d<uv����X
6K ��8�:y)��$����i��tEw���[j����z_Z�{�,<m�?MS��]���������
fX#�� ���+������&hm�
36�I��R��������Dh�t�G+g Iw� ������}Z[u��P�?������U�|O���<���ns�gW����!�#4�C�r���sMd��
E��������r����M�+il���
7�`{^��;��u?��N���b8t5���K�T������vK�3��"p!������I�u9���X�d�1|?�X+Nr�1~o
+�*�Fw��k���������>����}��=������w���?jF7i���0���;Q?�
���mn����^�m�G1]����1�K�E�l(������V�F����{'���������*�"�
�e�6V�}9�S����[=�
�Z�0���\�/�*���n��TA�i��i�)�\6"���Zv�T]��n)��r!���U����e�^^��� ����dX�� ,y�7�-}�[�5�6��� ���@< ��Bt�J�h���\V����zM�V�Vv F��A�0��7f1��IR}�J�����A��b{��Y���3���L/f-cH��W����;=|9b$�w i�_�X���Y�\����[(��~����cD���M�6��ux~���3u:F]m�4�ilx�Bv:);f�tr{�/�b-��I��jK�f:�.'����������,i ����R�+��f�CW�[��@*�
��)+�0lc����7��j��[���
����:������ �Xn$%���h<���s�D,
���r����`Abu�Qz"}��e'Z0[���i=�8��<I���+;��|+��/H��V$��3l����%@���R�As��*����LE�Az���[�T���J���V^�I�������s�aV+
|;����������o����z<�=�Il����}�J�84�����
lI�-���M��`��������������.�B��������r��G���dIT}U�@������W����v���<y�������2���$s�s$��dn���E8�67O�t��>�{��f|S�E�^u_���%��
��gTW��n-�v�`����L��S s���@���M��D����R���hWYq �������b���5�Xz��
��{��Mn%���+����|pR��W����QL�g:c��hD�,1�\U��d�"������
��mG~T�8>����� %n��c|����>�$������|�u��������m����6���i_o���R��a�3������-�
cAW�ImU��4EI�_�^6C8!�{;��Z9�)�$@V�g��6 5�g�U�M./Y��8��S�T��'���T�s���R1����R��s`���=��eI����U����
����e��� uQ�W6�?"Q����A��[��������)x�{����.T���
�o ���"<����4��
b��D�0�������E�����@)�A(�3�&�~�������u�Rm~?�|�,R�-��������F_4�����]�D$���jr�/77
_,R��]t�k��������II�N$����P��N������J
�2����V
@I������������N&K�u���He��0[T�����~e��,���$�kFT�5u
M��\��J��dc��@?�X]�p(���$��u�#e�h�����#�f~s���^�As0$d���)g��6X7TmfS�PQ�U������`+U��[����������-��m�d���n���^AWm�6D��Q�#F_8���Q����u
F
���
Kf?e�������{�����l6 �o�R�T��LN�
������
��i���) �N�Yc���u;��D)�kI~���[������7�Z]�l���K����w��+Q; �����!��D|
���)=��)4��"G��a���3�@�^���y��q�Q��T�"���\�t�2|���`��_6�D��e�.'�d��eBG��y����o�5���]���
�>miH���n����h2+���)��`��|�:��Zcv���J��/��p�JH�He
����@o�?��H5;��54�7��X
U�p,�_��\���
��
���w����e�
I�W"�w��<+f���bcM��b%��8m5�J.GjxRDY�(�����f����;��I����X��y�iDa|]4;�~��q�z�Fx��7��|Cs:� �L���&����W�q����#����p�y��!���UT�p��ZDAm�b����m����}A3�������)����6�L*hAg������
�����C/������b�YvV�����W�O��:=n��&C5��g!��pmtE�C%�?t��m���!��Y�����jKjmK�*���!���tM���E��P��
��l�����~�?��{�%P��� �?i��*:?���^8H��)y���4A)��+�5����C������MY�����o�,
��ll��� ��t�������������jyUS�@�Ck�
�����fp���|���-�8�\2������n
�����6:s���"��E9�m �Rx�z����8���tK���-��I6.�
��9�wq��Ws�!�X��t]�3�@};q��=�v�#��"/���{����e���rD��������*+��H����Hz��t��+�QX��0�R�[����[���u��G[��Q
���E9G���y���1t�#�4��|Bbk�f{q�zIpv����K�4f��^
���8�hL�"G���jv�oF���"#��_a��"6
���
�������k]�(e�V�0����{��s[�Q~U���G���R[�i��Y
-e�k�
�_��tKwg*c�/mz��Ui���s��E�����I�m����o�m}����j���fy#����
�|�v�@��|a�n��J
h�������=�
�W���l:�c���[u]Xw��/-��J/���v:/��W^���^�-���nt!��R�
R�^�v��~[������
X�b���Vu����P
e\W�`�6"6��L
�s.�!53n>������t�@d�����!!�~�q����r��>�-���Y�K�1��.3��q(_A����
�_��N1d -�U�X5��#����b�R7�R~�������`������\`�s��'o7$�u�^*�_�y�S��Kj����-������+��}�U�8�m!&DUg�6��=�E���
d�#?�}�m��<
OU���?����L3C���.n�ck�|�
�2<���r��j`�p<qZ0�� ����S�k{���k��y��P�g{����6�xvs��v #����
���0��M���RM����T�J���
�����c�|��h����_e��G_,����6�VD��M'�����f Ku������
]d�e�����wT�~k�P
��2��d�JV��4�\9�� \��_�b
t��tK]?m�_�u>����\���I�_A�ko�BDa����:�����F_�I��W����J��;���p�[~��������h~��,���!YV��;��Z�~K��
����7��Nwu2:}|�����_�������S|N�?*#��0��dj\�����#6�.
&z�����
��{kx=�{����h�|5w��t��Xg�j!r��,{����
C����fs�������H��H�@|�m��j����/���U���
>
z�k�nN�[]3��'�\{
��Iax-eU�Qm?)
7�`l
�F(N)�Z�E��
@�-���.3�p
�������V[�Y�tttrz���������|��8�Q�v���5mm�/��WX��XjJ[��������%��.����P��MXK�03��g{<�-vw�����BM�l�c�� ��
�yG{{��F��y��X$e����i�W��wl�g���9�-����y��hq*!qaU���^
� �,k�����o����g��s|zbZ��X�
�}������8������7������O8FV�U�X���}��-l���L��o��w�2
J;��GY��i�$����f���2p�
'�_�&�n3��4��-h������A)��
}��b�o�F���)1b��+��b$����=�]�������uN�H~������|�������t����C�
�
��/S�'�����������[�J=����������o�����`� ����
�?��o
%�Wf�73uy� �X6����
�_w5Kg�x�/����j��H_��?�%��
c���z��h}�2�)��k#|���a� x-A���lryK����N�
5�M~����m���������_7j,@ =�c� 7)�?c���/$�����F����U�h�A����n�bHw6�:I�j�R�WF�&���I��q�^8UU�y���U�
�� Y��c_���<V�3�C���U���
�u��a�ua���J���lW��@��\���3
�3=d��|�Z��O
=x�@���H.���?��rwV����9|�����Q\��k����N�>V��>�P���>
F>� g}Bk���G� ;�w���-������'_���7������kM���&�����
��y�\v��-i+�8�e^?�X�����f�&ZYPG�����
S�������|��_y>�k0t���H,@^w�8� ������x+ ��opzz�]��%��\��8PR
��U�
$���]��>5P,�h�0�Y�m�.9��$c�_G2��H�
Ir�l�c���0rK7�|oo���*�r��1���
Z��(�uv@C�7~={�%@�Tg�����Xz;�Xs&��r�6�N t��LK���
�%�DU�cXK��,J����a�1 six�+'��������:��Y��:|�����|f��e��X�YI�f�NZ��OnF��hETxp|U�'�
l�;��}��MjR�P��e
��1�
�~��j���"�Q�
��cm�e�����C�}b��V����_gi��?������s������$�~�^�b�^�
MW���C��M�����]:
4�r������|���C�l������m>���'�'����B
}�{��~�w���?�@n�� ~�7�����[�<���z���-�1��|s����B ���"_ ����O�T`O��t��{�
k�Rw�1���>��J�����3���n6<�@�O�m�Y�����<9=q�����]�
_o7�=?��x���3|�����R#�U�B�E,�u9+���v�4k����S��B^\Y����T������!Eh�|j)�����2�����{ ��#��N��u4�c>�����
����n���P�|=�������v4Tt� ����m4t�#�t
/��
� u��
�p9t
�kG��I�}b����g
���A�T�l�2�����b���mfp�>wz�T!��I��%�I�+PD�s
{�faDM��������|r:�Y��M�/|W+'��@�~��%���^�r
���o���=�&K�`4��!�b_R�1����=�)k.�k�A]��&S
r���}��W�Mc1z.$[�������V��K�z�X�i�!J�(������� z�����
>��DtV�����o�O�&��_<�����TX�Z ?�����xf��#E�r��Y�>S�4�!<��6���
r����t�������d��HY�F�b���/� \w<~��t���NGKw�7n\��BV3q���o�(�n��S�G�x�KUU|��Wd�,��z3����-�YO^
Yo��X� �d"�qVr������kk�3c:)3����~,����m���&��u`m^O6y
�?/�
��;;;��N�>>��:��5�v����k������
7�����������eK�q���
�.[x���
���qBn����3R���N��7v6�*��E���e{ p��K���2$������M"�,o,~Nf!
j;K�V&`�dF[�� �[�zF�,a2j�������P�L[
�a�>V����>_�v
X�v���z$G\[1�7 ��3~�W
����h\V��J�����Qi�q�-��}-���v�!��+���h[
//E���E������}��.����j7kb
���3B�.�
Bn�&7
�c��W�hiZBO
�4��A�����T��;���
��������/z���R�
/�3������y�C\���`J�� �zB�SN�c����kSTV���E�u5�8��e|9���N��=!R:��M
?~~��O��>������
[�1eR�b������
���Ev���!�������Tepn�!��;����Aq�������
|�{��\��{�
�9�
�
�.���M� �gg�������]�x�,� ����%��&��O�����G���z>�
<{z������RU]cbrMH��i���������z�d�b&L���U�H0��������_
~����b"�:�XR�
�*�s���1xM��8���f
[���J~6VA��v����Z������N�� vV���~h��[�����{��������Ctr|:��������3�q�n=�~�xk�
�k�1y�r�.u_
�N
���qX'�����x���������e�j�
@�����/f}>�}�����c��s�V3�AR�q=;�po/
�0�����c���-���M����W�;i:[ 7)=����
3���������CE����#>oL3�5k5�f��B:{��� �F�p��Ko'������t��3D�!y�>���b|���
7�~�t0��F3}���3���,�'����S��q:������C�e��]q��)���^����yU.?��
�p�[���O�Uv-�>|}r����d� ����6-k�9������G�b?�J_q6Q�tSKY>��.UZ� �7�e�:��X�Gi��e��i>�.�5$A�~�~��S�k�EA�9�3�79R�G0[p�����Z7�i�$�� ��tI?g�w'���>?~^��=���2wa�y�p8�k�)��O���������
�%t�����W��$��������F������]���w�x�l+��K-�%� s�
�w�-��X^b�g]X[&8T
5�}x)
�[�N���$
d��-
�Tb
MO��l����$�����E�]aI�q�B���uA��D�/�T�����{�����
���U2'K
G�tx����<���On��(1w�MC���A�Bd���Ia@gR�L�:t�G�,�*b�\�<�
�is����K�������.��C�p�]-4���
��I���"K�,��]�5�zZ��C����z��p���|��z���x��
�=�f���XoE���;^�
f��K�(��&��^��r:����:�:$�|�������hx�TBp������f��fwt�_������������ Z�g��g�}X�����x�����kh��r9��Z���t���K{o���0Km;Y������X�-U���>�����<��_�����Hc����c2�A�+���^���w=�{[m]g�&�&��>��������xd}_"f!b��
e1g���qmA[�T�k
�z9-1���e�N���/;���������B[ �0�(��8Q�xY��
�&N�y�n����v��a�h��uu9���*)����Q����v��������~�0�7-�je�����������:x}0����/�O^�
L�f�������>�����{&4t���E�0�(�w
���`C�{c
������R��2
�v��c��
�����h(
bo'��G����=�WV/O��� 2����:<}�m�P!|�sCaP;���{�%�{
���|yq^^�������D�[�������Z�K�KbV��*�G.�d���J!a��*����R�L�������}F��G�v�?m/�K
�����R>U�;� ���r7H�$���2biw�BbiS�}9N�eD�kW�������%�'��BD��3R�*o�U�Ow�Sy?)%N5�j$�jQ�t���|1b9����BP�"��(�F�4W�,���4��W�Y?�4q�s������=)���U?3��d�NM
Q
L��� �~q�]������g����h��iKa��=Z����G��_��:%�
2C����-�G9 #v8j���\P���<��Rwgg�����s�b�o�w��b `$���A�I��I���-�����
D?��"�4R�B!�p��~,:���
���z;�yM��%4����������i�&�oo�j��E�
�������s1G
.�W��k �Y�� �(��B
l���_�OK<
��z[J�\����
�f�C�P���em��E�[�m��������G�0�|������
�o���2x E��!9L�o��E��QN ��h>n&m>��QO�n�dvw���X���0���+��&nU$��^��E��������8�\���xraNw��4��OSE�Q��+Fb����m:hc��3�<�I*������xN����z6��g��!2���=&:W���my[����������1����x���q{��[�q�fIUQ��WF�m!��
��������������>#]
7,��
��Y`��:�����x�����%z���4t5���mT�SZ�0������G��
X(a���~:����k��`+]
�Q��,W�~G���z_���E�(��z�G���s_�a���K����� ��.���B#%~��C�NWx}3N��^��w��w���V�y�7�t�g���� �Zu{Ip�<��Qio:4����Z��Xz������g��i^��^
��(�W��.�*W�
�t�N/�����{�
��1�F�6�5Z�!YP��h���������<�����OTW3U�T_�o��@
���^��Qj�*��|�Og�������M~��D�^�E/�����n�zE��k�8ppNO�����Y�
�E��\�U��a�%d�VJ3�N�-�8���m�5=���e%��r�����Z
Y'
��,�<��sb�.�8J��Bv��E)��D��S&��dYT�29����o�I��4��4�RN��%��qWyb�����p��6#��r>R#{pou�_���- 0�lz9��[���
>�l�@y@����@V��(w�����r�;c]G
A����R�8�X t��
� ��i��z�4
]O&7[�g��`��E��;\_lnkJc�����������S�=Wt��y.�������G�f�)�#����bt�~����Gs�������W��
��Vv���=��
����'��?;n��4��+�k�(v;�0Sn z%7T���o���y"����K����6�>}����;�%P
5�
5E�&��9��]V�����
:2,�o�_?
���/6Ux����������VX����������L�L��zD�z�v�q�������D����'��F/N�����������_���O��=;��_���������5J��fzS�I�H�y�:;>�tw�g'O�<}�d�����
i�&M
@j�5
)��3�J=��5@���Z�#���,B��Z��v��v���^�U�w���%�z\)Z+3
]�����4^�
�_�zq$����O��6<N��S�jM�5���P���������8?=��������Rt����;����q�]>h����������F��x�O{�hRU�����=R���v�Zc>�&������lk�C��N��@��UJ���E�e���f|;u.
�����j�S����y����*l9���
�����
�m[��
k�p>����m���y������h/��jR�Y�>��<}�(�#���w�W�QF��� ���M�
���O�K�F����g :(�������������p�wD�
/o��_^B=o6W�}� �k !�nu:jQ������=m��5S�r<ed��r.���6� ���X:�
��8����LV�f$-�������.
0�^���6����c��z�0����W�/l���V�Y�A���U�mwg�Y���[d��i�WU����QjWIU������"c�� <�c�?�#��������T
h�^�1�n�������y�����Q������G���Ue$%��~��g
�-��K
�����W����g�
L`����8B{� ;A��@&�N�V�����]-f�
l�#�VD�V��5�M�%b�����7�HL`���'/�OO��8�
��ml��>���������
�d%���8��t����5����cu���\=�PEi��4�>�J���B��(���-���+������]�]
_���bH�O{���|cI������N�����f�������������������Oj
��i���F����o����r�e����Wi��~��{{Q�Tn��I�"����9/i)�U\�����gB�W�c�(�\�}rKC��R���E�i����xw��p�5Mg�e��$m���S���������5v���4�\�2����HM���@�A�dA��E�Bd�UZ��3�K����� h$)C��`
��K�c��U0m,;�����O�ON�H6��������hl"��e���*~ �����@Z�.�(��2��(
�����Q�xQ�E�
����?8��$���8��%�������\vdvqu�?-�}�}w������t���G�/Q�m]�o�%!�S����<�����{ R($t)�O��5�H���y@�K�����'����*{���5�i���_�S|
��a�O��$A7�g/}�
���������
7N�xo/q�������g��������8�$��1 �CG?D�V��-�����"�t4^Q{�����zz�7��Nn�>��s��3
>hq�+����Ce~sq
�8����
� `�
R_�G����\4�����w��U����*L���WCY;.���t8�d��zh��+��jb\<�$���
��Q%JIS�������1����,.�D����>��e���"�������x�=#�_����N��?����������CaR�f�����v/$����"�b2�%���7��U:}�����}�);��{�w[|9�Z��7#�������-[h���7���IOPo�L.!Q 9��_�[�.����a���S!�m��J�S����������������|$M���e������
.T�y��/��~��������]Onf�Y=���0���D�}��O�'���>�����t|�������7��������Gl��b�GZ���
~�/c�G6��~ ������x�l��K�Yn>b����~���z��_�'3���c���W����{<��w���m]��T/������5(�C� �(�K��%�=,������:(������u���d�'F X����:�}I��hY���c}S"��%_8������f��r���W]��&��������;�
J���G?���
4����
�m�?2]i�_�������r���
�R�*�|'���>�0@�A�C?3���=�$�IJ���A1|W>i���*C���K����T�Y]���,]l=L�������o����_�u!g��������~ ��+2��.}�
�T����q���XD�0�(�M���
Z�-��������y��\��EkI�
�}��Oz��f��]"a;�����R�V�Y�{E��3��
���c{Y�H
��$�_
6�o�[9
Y��PJ�f�U,��������;<
�Z
����yVEP��JO&�������R�{:.����d*�&��=��<4C�����qvG����-���tc
+�CU�b��k
��L��-�-.�`Z�3�����7�yo��)�a�+r����$"�#3�F�i���J���S�T�/�����
]E�i*�"��6���).�h���E7+��;
�D��s�"+�<�����Z��4JU���y�Ongf�3S�\�4�tq�f����ou;Yd��������vL�
��Jt?�\^�s�4�%��6�������y��'�������m9���B�~��TR��UJQ�X�,�������
Pa-{�q{���s<��v��`�5l�@��z;M:�%��������TFnf���gr������
��D�x���\������n�`��+W
Yj��,�b�j��c�,�r���s�F���
�:V'�0��������-�:������^j�Z-3� �I��,�'��v�0����b[���G�!>M��Tv������h4�#���6��9kD�6�����������C�`h���S�f
�
��1�nX��>��1����3F����%uM�KQ�!?��t`�Z*��SF�5�
��'�m���_>}��
{�3�����=� X���������r�G�� t�����}�l_�R��,o�F�d�
���Y���N<B���t��Y��Z����.
R�
�BOP t����|��is���t�|�%��D�bG�
�����
�"��C��^t�raZ�y?.������/'yZC��b�Wjx��5/2ON�����tn�CC� �3�
N�#�P+�����.���k*��������F
�����#��9��wZ_��'�m�Z7�.qH�6{ �~C4�UQ�:��Mz$%�Cz��/6��<'��������U���}�H
��p`h�q������K����^���_yI������]oi�^����n��k.�~������~�������/��H�$���f��^l�|%q��ht�������������-'I�]^��X���'��
z�c�����@�'���X=Wi�gw���'
x||v��`
��]���iA�M>t������_@��\�3��T&���i�`D���}� SK�J��e���.d����/��e)Y��/[�Vsz|�-�wn 'l
E���������x-{�g�&�,������"�8:b����
>A���������7����{�����twb���e��m�LW|:/�V�{�Zu/OO��
>��
�=
Vw������"U!ny�7S!�������@�����{of����h `�N9���>&��\7�V���F9*��y�'����]���E�E^�F��\G��}w-%(�w���� .�y�uB|��X�~�AJ��5
?JE�
D�"�����t;���[p�����y*UJTm���%��-w�Cp�o��1&������K�s�82]�Z+c��1��/����[G*9��rN�D'0#+���DF��YZ���au����J>[�����SA�����g��7i.����� �e����o�=U
4�bx
�s��R`�
��+���]����D3&}��������&�KcN��7g�&
�on3$����caPdz��w,}/�V[e9�I�#cS�U�m� ����=�-P���@h.[@��������?+���������i���u����W�"��x��:g��Mh<�������<�Q�1�1����K��
�M�������o
��s8[�?����TY�������>�������'�����$�����V~d�"�+:��[a��Z����c:�����y>yf�'�t�
��z�|�3^e
�tw{6s*(u��t���T�5����=�T]z`~���EM���X�Y��r,�
�kM���1�y�D9W�x�,����z�uc�IT���n6��4 ��W��Lr��� '�$��l
��5XP�T�'��g����a��D7�
v[�o��8
���ob��n7
d��^Z� 0�b�9��?���|�r��7�y�>�|eO��!�_Z&��
�-k.$u�^�A����
�:�V����t�,� ������9�P8�i'��$��T*��wM��G������2��1t2.��N��������/��?
�beDy|�:���������D*��r��M�N&jBL�����g������)<=g�\qkga ����>'`�;~y��w�7���R�Q}��������;�2v�XRJ?;~���k+�E%kRK\gS`N#Q
�o����7����|!�o�i.F"��;I",�W����b,?_0��
z]�z�ARB
={���f�?�N{}7m�?����(6�'
PA"��*�/ _KG�+��1��z9��ey����������?� �����X��lq��z�
��v� ��Dm�N����OK��\D���V��; t��p���%^�FI����[f�YN'��bg�C��:)��g�
Ff��{7�����F�f Z^�����N��Of
O���ta��j6��h/?J����:��Dx�Q
K�[P�)~� �:fr�E���N&�����wh^�.F~Z�������wOY��T��h�
�PO?�2�[��}�S]=�{)0<��:$��>�Hz
��
�P���\�~��� �O�Z7Y�zS�H+�� �]���|�*-��:����-6Sd���cm.��V����*5[�����S���^�g��Of��
�<<�������WO ON�{O�
_��,�
����X{�������M�1���V%����M��3
h���C��
����N]pv�iT�W>;�L�m��������ucE�+?6������f���tbqI���_�d4�Qd��O���r>����A���q^�&L
#Y� �<?|�b�cK��X���Vqd~m�E���[�,����e �nTk/�T�hSU �~��Zl���V}BU?L1�?�����G�J~K^hRP�z������u���j���������KF$t��_��
��������a��2�SV
N���||0=���UQD;��
�d��[sP� �,�
XP�
{7�5
��.V�*�=Rg�
������W?Vi��� �X`
�`[?�A(��q�1D�8����2[���B��&U/
��)����(�:�$ �@�>^�RCe�,���}I��!q�
q��
a���Sg�V�D�o�I��5��Q�NQ�P+�:
�?p�K���r�-���.��fa+����o�iA�nm*Y�i2[�e�MK��l�fAy���& _5�e?YK��mLap�A���GY��Y
^v�C`(+}�0~��wd��Z�]��Ywb,�~�n4)���������
������$
j���� �����Z��$
���L.~j�8�`:�4�
��ZS��]��1��$�
W�M��p���q��H����dv��^L��
���9�6u 5<�wo�!�x@��9����A"��c[�,�����,�- :s>�:�o���X���
����Uk���sm�U�%�Q�)#Kf��lQ_+����Ib�C�d�$�U �x���Q���hk�������T��U��=���
*�<�>�j�j�
��[����)�F�EO��Fj
u=R��T$��2��/��L��M ��Q�a>X�������~j�G�Q��`O��~{<
����=�;j�%��c�+u?���~��L:������+u>��Yj�����o�j�3�8q����9d�R�,����������k��}S����IG��yK����s [��fT�*�D}���?��x9��
���6V��2�����
�����������qg&��z�?��2�
0��/�>�+�e�G/����W�Zi����7?U��%����FO��2[����\���_�7���y�50f�)�4��G�_�c��
c�
$��zR[-�����M6C(�z����2�H�l���������
�h#NF��O^<��,��Q�d�J?�?(��['Z��ZHv
��*~k�����F��>��v-g{Q��n�B9J�
��)�
����7:D������g
���)����
S
_�I/�j����$��3�7Y#���v�g��zb������@�����j�s^C�BV�=�1w�;r�1-��Z�Z�nX���5Qe
�<S��'q6�����
T��K����2����
�c�������1����=���������'��s�QY��
� �'����/���1\��.�7��^_v������Z������w�1��
s����|����6<��������}��\pY��q"�3S
��}q�c(^Y�����r�sy9~=����~�hb��P���BqAg3��w
b`@�jb(L�g
\(pA���L��uf���
gey5��P�+P'G|�2����
hB��t�xM��k���-}Q�:1����/�`������y�*��z5����Pf���A� )�Y}����3���7����=(���}����
U�c�� �&����3�X����D&�S�Z���
������Z�������s�����g;t
_
��'= �S�-
A�����P�
��_%?� ?yrzx�7��-k��j�I�Y���=�
� �� s��o �k�'O>�0@��*�
���<���9��%�?"l��;AUc
�
�4ohX�~���B�����8}��8��]���V���O��+�Uq �:j����s�����\(v�����V}�0g���n��{���{�qzTn����,������X��:�y�5��- �����i�>�o��v��L��-7I#����� sP
���:��M\��z�
C��� �����uVKk��e �����=?:W�|
[�-K
[��~7���O
�@Qkv����4s���_hV����oY�%���&�����q�]>��e�������x���W�;��V��
U�N'7`py�������
�K�2I�S�x6�At�?`V�/f�-�K��?���eL5����j���F\=��1��)�����vc0��S�O�m�G���K5��U���M�����o�����
a|��
5
�Q�7��#���j��Z^Go/U0��z���~���qM�����L�[�
��,�
I3U���f��da�����no��4����-N!�7�����]�-�d�4��/G:��.
��}x�V����I�LX�1a-����w�������r+
�7'�=���_B��K�?l�O5�s,&������~���w�i�v�H
r������
�V&JS���d �6�+m��rdi��W8�*Em�-C�k�������� X��h��M�^�bi�+lA��)��@w
�&U����:a� ��TT�r������E?���nE��/�>(}��W=V�M�����m�U�*2
��CG'/N^��e���.3}��7���|���*��q"gmW��f\�-������[mJx���;�������l
�e�{���������!���w�zZ��R.��}z��[N~��-��&��b����(���k�84U����&�u���(���w���h�:�����z�$����ls��d������OmT���Z�Ot2�vLur�~h\�������>�u��=�W?��V���A��S���UY0����6X{���Cb��C�y��'���#��7��~t�LF
�V��c0w��ZP���6Fh�����gXs�V8ku$;�$��S�^��e
pD�Q
-D���UM#
fMD�&�\$����yoLM
���L����$tG�
��D�9���FC� �����G�p���/:4��U
���f��
��Li;m9m����p����`(j�z
���40\� ���w�YE�����A��g�o�{�:���8����t�i=�)T�_�
��4d%o��)=�
L�Q�27����cM�b���(<���x>�����8����d��+"�:�o.��f���J\ ������s����Tv�
8������t���]V�)��W��~M�fJ���D�{���
�mvs���>*F
:n����A��������M[��-�M����b6 �]�PN |�WlT��Z����fs�����-7����u���(�6ru�(����X��Hw��P�7��i �q}a�x���Q��7��W��|�����K�@~��KI�Q�:\���:��rj��&e����I�����zq��Ds��n�~���x>x~�6
�}:�o�5
!����*tX(��b�QkS�������7�=&���u�Ek��b[<%[��L�8��5%18h�-]m���-�-�*�~��N�n�|�|��������}?�����{]������������Z
�+���{/��Z����J����V�~��i�F@����6�(
�f2��������gN�0iX������ �Y�[@
U��l��{��*�e��?l��;��}��h-{�Q���d�1 �~����wr1��cE �i�p�kz%Z���p>�o�����15|�w1t��)^��R �
X�
�h����z�&
��J\�V��NJ}0��!��+�A��Z�����J��$-V��g������R��UZh��QX�B�>�*
uf����r����G���A�Co������
��!����#k��)4u��0
5����������d�{v�t�
��?���V�!���{Z�T7n��@��������0$2]-
����[����^�[��r��u���[� ��@U����0��:.����{A�\
��EZf<�����Z��Y6���+~NB��b1pd�2���Yb�El�n��N�%U�%a�&E� d��&� \8ZR8`e�
��Z�[EQ��+�Z� Y���C57��e]�����[�
��������:���:�C�3i�z/�k�������-V
��6/����Z+�d����/�
��oet�U�u������/�z�������[Ab-{+�������N��5-���
I�v�����*1�}�����Y�� �]?��~��Z����I
A98@�~��i10#���+� �^w��/�y@1��W�
��^i/t�E�q�=��, ��YU�}�*�����C���|?�s�V���u�
�vuE�v7Kj���H5���j���a�ukiU^�N�����na�k�fG]�W
`W�]��]���bj��4+/��
�K�+B��y�wj
��n5���~�Q�ww-�s�j.pV���"
��\���"���l�~�T�Mwb0^���������\�;5z��\���W�����z��
�$��
�x
��pp3 �Y����;�n�{���#����u}�O����$M�64�����H�V��:�=�YzJ��k��>F�m v^�G~��|���>�M���L���������R�F����9<>s��U�eKYx$���N�a��
��O��v�p�� }wU���<R��y����9I���
���s�_�����Z(��t���H{ J8[��� ����AF���@�3�e{�ao�����
��wmF������ �hrC��;�������O��A����Kr������h����Utje�nhz_6 �
�_E����]tJ�y��`�y�.!��[V�"}�����k�U/��*
�2�����MK;p�;T�~WK��~39��
�x�n~�XV�^�Y���
�'
��������]�u��Y�%�k���_���{N) h��Jo��G.W<�~����LW�-�
�+6����^$��
��oA.����r� ������@0��,�
�4
�k��lm|w���wq���v���[h^���S�I{{I�'e\�Ar'/�����wZ)#S��L���G��#�
(]x��d����G���Q)��u��jB��?�s<�E��k�'��N ��{N����X���_���/�og�}Q"A��\��.N����
����.�z ,��u�ue�h]WOU���N��u����1��n��������O����2/o,he����L�t����#����]�IU���W�M
��bp�:��9�F�2xL���]��w�R�l=��P�J�����_;���0^�3���X���Ov
��|���ZH�\:Y������c+��t��}���{������
�Z��Sjxi��%2�vq�=�
��Y���S�d�T.<v�
t���fJv�:4�
[�����
6���\s�����RLB��`�yJ���vE]��7��!�n
��H��]~��Q������4vJ;�Kt-t�Lz-4T�%`��I�
�.�S��M��G�
�v�"d�:-2^mDjz�#k&�
~����hO] �����\�Ze��\����]���O��G���m^�-��N��Z�*���Kv]��B'���&��eJ���� ��KU`�;"�������kV�������h}�OcQ�YQ�Y���UE��a��w�S�{>��r�|[� ��jz�'<����7��`}zsQ��<���jXd�w�5��+w��p�����uQg�UD^Y������~`�E���Xx�[��S� lV����Y��^}������lm(1.?�i�h��R���f���i�T���*M��P��jV �w������1�e���+]�M�4����I��e�8����{��b�[.fp1����V�8&��\('��K����U������|������6�/>��Y���PA��Vl�z
��
�
���������'��s]���-,oh3Y����h���zt��7# =Z�+wW��NM36���w�P��qB��
7x��� �������Kr�%�oaC�
���~�`�*����6z�)��
B��]e
�Y�g�]�kU��HH��w����dv��$�B8����
�Y�i�J���UqxS���T�fs�?���{I3�;���_)���|&����"�u������UyUp=���w����cy
G����Z�����$�\�#�����bj|�|F���O_��|�����������g[�������F��q���?o������M�~����4��/6
���K���j��3fA^Z���'E��V g]�aZ���^���n���L��X����k
7�G������*����G����0��
�����_;�
X�u?��X�b�o����x|�����?`d�G�s��������}��]�'�Q��qba�$��M���;�l���6M��;���*� [��������Wf�������g���*�_X�}2���vYP
��r��� �c�e�%��`��LB�D���E�o��?/y�gR�M���@[��t��
-6)�_�3�+G�|��Hc���L)���fb���
���v:��w/��#d��R�f���u�k��c��[
�
��P���;�v� �A��7��,1/�zgo1S�����c*>:y����M�j�8�����v��>��g�����������{��GC��sk��]�I
���n��
���yS�.U_v��7w�X�2� �!�O{��������-��4���Td?�2���~
+P=�@����KW3�m
R6�
���������[���
��T\���*�*���V�aj(�&e)#6?�
�����
�o���"���J����:����8�����*���SxY�J����{=��Q���b�&��
������fw����b������U����3
�#��B�c�
��#����������N}��ENz�;+�"w������'����*��}t�����N������?S���
�
���wR��m����Y0�-_�������|����=����w�����r
D��^%xs7}�������
�_t�=� ���������/����,�Vg
S����T��
t���3I�-j-T�[)���Tn��
�k �<~���).�����]�zD�M&��^��A�lZ-����D7���(����"|�*�������<D�
�����1�����'k.�j����<�@a�G�'��v�V���~��~_3�� ����w�Tf���b"���s��
��vIW/tWb���m:V����=����������b<��}�^[k��^"
:6��x���������yy�df
�T�����j��Q��;9�N�{f��UVx���r|�| u��5���u��
`(�a��q�����������[�WW���p]q������P�s���SVcs]�2�{PCt��On, i�0�{[�p�k@>���n��;�����| =���YK*�-�
�m�����ap�$��
�#� �m?�oL����x��L�����I�����(��Yy�T
���\I�6����.����m|KHq��RW
����<�{q7mU��k����xO�JZ�OZ��<����,�t�o
��Z���9cX=���(����.�(+��[������������il���'
�<����R<s=Y�����}���P�������U������v����l
K�wQ�o(ll��������[3N��m������������n����V'��$����IQ�!�~������������
\���� �:�����Z����Fr��.���Kr��o��S�����em�S��Mz��^�@�r=�vv�x��
����@Y
�+'s5#Yd~z��7�9��FD��d���:�~���S��&�w�����ll�m����������_
~���1�=:���s�����jy1��y���b�����}��dm�P��%���
K�3dB+kQ��^{���[�q=��jmhQ��1V95��l�U�j ����d4�e����-0�������t�
��/$�}e�E��b�9AB;�����W(����$�%���5����XsCt�W}}
���c�"��>����+��)]�X\$u�x�:�Uo�������X�����;
��e���
Y�AU�0��O�����������)�Jc�e�)?Y�aaW�����2������m�h�6�
�
���-ul�{���G1x,M,���&�26�d&�D��9����_=[��A��F�L����u=��O���>+4���'3�U(��x����*E���3X���I/J���`���X������VoG�O���������z�?
��5c���W����A�]F�����BT�a�����d��4�o�m��]E��^{Uh�a
�&��c�U����f����������x�[M�-���$
�
����=�Zp��
���4
K������ �$}>RCg���G�
9c���Y��B �J�.�x=�������(��%W}�G�R�v-X_
�����e��!�����k?������[~����e�hR��8(R;M����*B;��x�^��E�n+!��Dm.](������2��������,@WAm��w�O�{�\��������=&Z��x�����9#
����������������Dfc������/� �
����j���|_�d2���Wmb[Sg�s
�5�����`���=#2���UJl�2��������^J���w�}�,�����N��j��+U�]�����0������4f�K?���1�\��]
�-�4$����n���j*]��g���2��~#�@��d���J�Z���#�2���K-�Ju�
B�������.A��
,>%����3P3���?���s`���H�Fh�����f:��!,,�7��5�j�������3j������z���������������su�}�Y��r��#u��Z��
�(���>\��Y����>p�`w�l�R��
�,��[��WQ�t~ �@)5{�V� ws�-�
��=��G��s�YI�/OO$U��_��>?�>a��E/���^Q'���D��5Nu�*�o��r�</xJU�eu��#��f����
���nr KO�'���i�X�R
)4�#6�
����_��}�.[;G��^��_�|��x�}��������#���rt������S�����D����^d�KN�U�����&�� �b��;�uC�'[n�f
�<� �d��
����z�;�3��Z�:����q��q� [�������w.��^�������|Y�./�F2�Oo��F��`���X��#���������������N�^��x3�)+�o��:-��'�/k8��]lm��y�e�����h
�<�,���Wg�G����#�k�[�]������V!K��hu ���}�;�:���/N�xuf���������uD�^v[��W����p+��t^Q�V�~
7io��d��������3����B���w*@��N���4?^��4�1����m\�������.��8� �3Ep���+��e��Y�����qs|uUc6����)�Ve<w��_a�[��9�V�c^����l�l��n��be��{^K�Jc^�lV7������|���u�|2-��m��\�{�C��zP@�X�unk�5*?c"E�Iq$����X����������������������������NN���!k���
����Z��Sq�Nb�m�$Qs���\#mL����k����b����%�
������U�F�n���2O-��-I����F��$?AUVv���nn�n�{KmiK�Z��-i'��U��b��
3�@ k�(�U
����]c��WH�%��6�~+�S�D�_�J!nc:�jY[���I:��|���,���;�{us�E�^���������q�l��?�m[���_f��cm�{w����8"�D���o��pC'��< p,��M��Bg����2p z-���r��Ga������
c���|�Ng������H[�q�I'
j�3�m��Yvl���s�_����)7���
�U��|�K���)0��F�q�����n[�{J�u�o�5���~
�X*x�b����XxS�g=�Z���
�K����`5�Tj3k�\��b �
�+�����
�L)LI��NH��26W�Mi���P�@z�,?f]x#�C_�x:c9my�g�si�p���3_i��j�^����*�]zr��_��7^��ITf��^�&����\��;Y86����-�)��R�v�y":��U��y�t�}b�\e|�[���-b]B
7j
~sn�7)�,J�:�#fM������~z]M��������8��r{�-�HE��_�M��Q2�?�i�������l���� n��W���v���gm�6�
O�
��@�:QL�w�P�&���6R�lR�U������0:��V�
O�'�w2��� ����Q����RnLmk{��������895
���W{W��1I#���_X�
lX����o�V��{
}a9��,��w���� 2�/8+���S���������T��8;y��H��GG_ �xr<:��xSoe����l��{�Dq{[T��T��S��F��l�N��l�_��]:�2-��vb���O��d�*yk�_E9?=|q����\������8>P�wCE�n�xn���m��S:S����6����d��pF`�M%����������;���
nr���U��]�Y�Hh����[Fx�^>}
�U5j\W�JmF���������ik���Nk�x�k����KM�b���f*
X��"n���vLD������n���uMH����� 8�E���k*����9P].��=��\��L~��6%0�����
�eR������;t
61�
�(/*�
��aTd��j�
�p3Ia�����De_���D����
�����~�z�aN�!�-?�^���-�5���/�Uo��+3�
q��b���r-6
�"�����hc�b2�s�h<���A����pS����Z^?�y�)
V��R�4��?��ur�����~��]�
V��3���Z]��v@+� �t+���~���uB���5!��7~�����<Z�RF�
���O��u���z��a���}[�U�)M�zXM*��s
�*Zss��,7�t&�.b�����'o;��
k=��Pb.a
�&�m�����%� �5��
F������Z�u��-u�F�X��gu^�
��Q
�f�K
z�5jSY�k�k
@���_O�nv��>3����\p���.�k�ZHE_�5�����jM�5C�@��N�� �v�������Q����� �#�2*�Z1�\�P
|#YxLU�Oy�8S��4{?zM���l���5�V�"�������4�������A���^r����"�]~�O������|rI�1�H S�*X�K�c�DS��~vx
�����8>: 1����'/�OO����W������5���~��=�������J<im�(�-���������e
%������m��+����(xg+�owVH��?��XZ�����d�6L�y��u������A(��ux�T�
�g|�����n�kz�zA�����HzR< �i'�Q$#���(��������(����
�B������hR�@
��#��f<5���/qE'gD+Zl/��7��D��(��}������lCc���4�8r����{�-����I��W���vVby�Q�+hn�ZH���)xx�����]v����E�B@�]���*�W�vP?P��"
���NX�T�*�l'J�������:��^��S���@
������U�*��_��e�HEo���=7�7��}��Q&7�d�\��\u����m��R��g�l|9��[�Y�����,W��/f��4�(��lx#��[s���]��n������P@�d���v��WdQx~�wR@��R�[,� +�{�����NV S_�g!�X�uU�i4e���%�� �^��I��i���'��9��}��N�y-��a������{/�0��H��%��d��
m�����z�C�������ND�@�
�&{u����Es�/Iq�� ;�� ������q'��^
�����������9���2��j��R�X�P���[�C�t��P6[E����V+���@i���%��n�����(��8N��� 7h�0��I�(�������<.�$I���_��R��i5 ��R��_
F��qv��]e��Q�[��1�e:7�
o��7P�u�Z���aM��K4�?C�Q�|�4�WD�X���=W�-��gw#���6����~��I��i�� �~�~d����Xe��f ���d4�Y+ �
UuL��@)�z5&�q{+��P ��V�M���j���j&��iM�����K5�
sj��;1��n�����~ �4������R�Y��o���J�K��=���3�����J��_����&�'8n�L����X)�e��|k�&������c@�0������8��,=Ju
U#�L�g8�n��9-y����a#��DD���7i~{{Ud�8-������o��C��"���7�e+�j�\N:��y�Z����|�q��?��X��������N;�7��n�:;>���t����� t�iqs�X�?������#�
�L���BD��bI''��@<����/������������z������H���g�O�;[5�
�2����T'S����'���H�������pm����k�s�\{��w��W����$K��M�2t�4��4��(,]�q������</������7�Y�} ����#�
X_���ht��qzm=�����R����
�+,���r�rC�?���]�r��;�J����wv+6������G_[�~��d;�f��Mg�-U��
��=���_6u_V��������N� ??^��z��<����������)`t��;����������#������{O�)/��/�
������v�o[>�; ~�
�-�������j[�k�X2������V��"�z\����tv���W�q�6�Y�(����
+0s������W����W�~t�&2�'�����f�xT�h���<����c�Qw����
�%��V+V�<�
4_��_-?0����g���t�*W-$�����S����o�[<]��-~��M�9e��~��EYQ����"��>�@�������V�V��)��54b���D���Iq+�
� >�U'��X�F���S��t"x�}�������-�xS^�f��;��]��y��/�����&#��g�\��x^�J��m���y�hr;���������H%igY��L���<�o���������nwV���U��u�7�tL�(>������)��??=<X���od�O�nWE
AH����A�~9`�l?��k�iG�����^�63� ��N5�{�m�gq�sy@B��{������������[:��������g���{�/)�Wf�����u�TU����B�R���������(
dc53l���� ���d+�}���{4{��%�E������<���:1��.�|�<��mZ|w����a;�I��m=��U��������_�(������p��3�A��Au�;��W�f���5��KZ��=���o��_�|�����g���K+��]/��B�����:<>�EOV>���Au{-i�?k_d�����_c�g����eWv
fah�E$��V���� �%o��A�$a��I�fU��~`;v�yi�a�_����0O�*������Va��~�.#���"q�q�yU��y
����C���n5F��tl
�L-+�
���������������/��c�g�/�����v��;���W/�9�{���?NQNe^j���D~��N��I'�
��*��a�b@Y\�q�:nT%Q�YP�n��ya�{N�Q�����SVdY^:IU��W����lY�%8��N����2�����,�=��*?��2
2�����p:�{��Y�yy�����i�;vW��_~\&q��J�bM��
�0�}7���K=;����2qC7,� ��*s|?��0��0�����Qc�����,/��N��-v��I���W������n��]ye��YT�
���@O�����O
6
�2�0����$-� K�,�
7�[�_
�DviRz ~
%��
bH��.�"JR't]�8���Y�@$���y����"+]��vY$���.R;Nc���h�d��N�Gi^eXlQQ�i�Q
��(]?�AUcv)��deW�
��'�� c5<
� O�8 �8,��du[;-������,����� �8H��;�T�!��$.�*�qB0�������b�Q����J/��<H*���"
����4L��gg�S�^�q�{%�.�*�
xx����
�+��Ks7�H�`C25
s���<�@�i�3�������#Z���$n���[6c2q� ;��,]�h���zli
:�S?E�*C��W9xd�e�o�Z�q�\����u���r?
��)v6�2�`�}
�I�.��� _��\��w�
��&~�E�cSxE��ty���3�j��V�P�b'
��#7��`�l
,r��L�
=�.@U!���c�AS��x�K���o���bP��b!0/7�*�����H��Q�����m����):N
�Y�%^X���i�}+=�(qd=P48M`�}
�G�.@��M�N����l#�G�2�J�2����mu
l!h��� NG��AT8�5I�K��0<���C�s������v��I���.���{�_E^���_`��4�����,��T�h� �}�8 6��)���
{yb��"/0����
�����4B7IZ����8[�
@�����W,�[�I�V
v#��/wS�W�
'
��s0�<S����ij�����^
q
�,0+�y ���%h��
�
��l��{4��i
������Y�@���B8@�Q&���&�vTBZ�^
������OT@�T<U��y�b\N�a�h�y:
0q�P�H��$ �V��\����
���Ha,`U h F�R��`��]b��
��UPD6�=hDM��H�,v�-�����-d��_�����K ,<�-=f�!V�Cf!z%�z�`nz�6�{�`?��2������/�8�B��I�A�� �����! �� ��"I�3����n�,AoX�,��; �5D����.�
H
<����@<
��PZI��
yV�4����n���_��`X��~��NX��
?�H����BH���l� G����@xq��"Pz���w�w��������Jhh�cW6����W���8��h
B����k@��`,�(R1 ;�d [}������b.��;��V'�@7A�����,m�C��ZT �F �@k�@y���YU��C��
�
X
�rei�������0
��,'-����M]|�+�RX��(�qLA���5v-Mh��>���c��* �,G���Wr���B���9� �g
�ICp)'�m���q���`��;H;��u<p5�L�m/�������
�"
��!�����i�� �����A����RXf�(���J,
�
����[e
��@�x>1
8D�'�
>� >����M^�^bE�X�YC���8����A���x��8`���i�f�$�K�gNYF[��@������8�2�4O�K� ���q =!<�B&�� ���������+��
8&@��0�g�B�2A����h3Kp�L!�>@
F�UA�%N��yx��=
(g����|���������A�
�
�'�
($
�
E7�
hD)���k�%QNU&�JE
�sM��#���0K�
�[y
W.�
|7�x���l�*J�]�B������)�P
���L�"\'���
j�L"Ps ����VJ�<���
{���*�$�p�dtm#��8�����l'p
������$V� 8W��rq��1�H��^��9P��z�2.�#�c�p@���L���M��#
����b���5�Z�0�!�S�s�C�%�4yiI����A���f��j�a�bG2�+��{������4 �x\
0
��
t���Xp��G������H���H�~�G�����(�b iT�f@`H0o@C`
�:���B��c���`:�V,"�F
�
���A�CH��IeS�;��/L 7qL ���q� _*0.�"��w1!�P-�� �M��
�����2�"�J����L�ec�#�nH�G���
�
��S�
��b��A���T�R��AI�H
h��!
�,+�S�op)���w7��v���907���.�c�F�r�7b��
;
@�`���{1�A�%(c�EeC������]0
�h���B;� �������{6�((P�B�~6�M�l��
����{)0���X��[�~�t��^B�(��J��(�Ob3 ��#��7V%�S�9��)v>����$�-s}�n�
�>�g
��G��z%�/J��Q���2�T�
r`}� y�~
X�T�@�I
}���h�2D�0}X�T��aR���Q��+�g�_h
%�
6�h
*jL
��1p��X=s �����j� W� �l����C1� �R&lI���Rp�U�s���b��N!-c ������
�A5����
d7�m�* ��
r��Z����S]�y����Jl����R��;��
���
#�Z� dl
AC
��z�`�a
oX�
g.�)�N�.9N�S���fS�i��@����-�u��
�����M
����������X�b�t�
�OF%�� �Qk�P�r�!hh ] +VB`�P��<�g���(X��-��l�H��R�����8�����@Xt�I�
{����[
d�Sv1�Q���c�(!4ULj"8?�^D>���]�.�U���4���U�L�B���J
L�[��P,����`f��P��G
���!���T�
��Y��h����e�� �)��n
>D��n
I����Y���i#���j����I�C;���m� ����R(l�T~@^����A������y����T1�������F����
(��4��"(`�1��X���y��
�
�0��o���5 |>����3YN�w�G<�r�d���R�3:�i)�
�+���Pa��q�p:�
�R���e!�P`7�����9�Y���4��<��f�a6~���a�6�P��\7G8�.@z���� 40�P8��
�j���0������gy1T���>k�O�HP���}CvU��
8I
��(v:J�2H��#;���F�U��zy$ �z����y��r�"��� Sd��t����<���b���
����b��
,�Dq
����
�Wy@
�]ad��b
����4���O���x�
p��1�A�-�<"|O���R��D!!��<
���I}����F(�S�����F��88)� �LT���b�.���:�=V�c�!(R|�P�F}���"���8��_:@��)��v���\��b�F!6h�o�
)�w�N���8�x��4��9(����
��K���E�u�������#��B�)��i���C�x�bj���!up�?+�=P7�pH�w��&�t!
�
��
��.
r�k�+A;�r�i�
:!�8!�����h��*c��?^
�*� �;1�@
��c�
@�!(�,���9P
��=�`�]��qXAe����������^*�6F��5��dI������}@�U^���C��d#���iE�Ck��l�wh�9eB^�8b
��%�
�[Va�
�i��m�N�>d0sy�
�
G��o
I�%���y�M
bqBh���0T�|�������Jpj��4p���
{ -
�����X���<������!��%�����C%���& (O����V����d|�u*�`�Q�5�"na�L$�Q�,��
��M
D ��8j��_`#
�|
f��# Q�,E=��4,�B� ��"���hB��N�"*&I����=,%(*$��U
$-r��9o�&-�`��>��a��P�hC��+�����`>�Q���p.�_��`D��v1I[d ���aR�
L���X4��c%��3 ,?�j���� ���eExc\DP��U��
+0P�
�KS�-KW�>~� ���p���B~�
��/�%���W�<R�hv���A��������,'|�����-/!��F9�P*
�M���:�o�"�N����wP�
��$����xQ���Y�4a��2@9T���� ��cYpmH*pHL-�1J�q
!�(!�-��]�H�1�j�lr'j���CDd`�h
�/��v^@���
b��^
=:!a�.(,I�b��������'���!
�Zg^ACI�$���3�(�`
3!B4Su�b;hCi,���WB�<*i �����f��=�FAk�����a�<&���n`3*�R�
B^s���8�AD�
�*������
�0�,�����@;���Q���8P�l��������D��EB;��K�A@�\�������.�H
\�5
�*�A�9`�C�~����E��@?�'I�Q��tY��JLk'8w���
Jp�| �j�C��qA�6��S��T����J�4��"At!)��e�#O� b 0mJ�����G0
A�A
���f��
8
��
9��w��C�7�.P5xe��,B�9��8�rC;�]�%��) �������Yi��
bV%$����1��A��B�S�� =~��M�\ B��!�s��
��1P��f�
8�����\!��S�
R���*�xB��D��jW�w���1�X[�)Q�$�����<�1�''��"m/146
g�������Zd)�
[��2���D
zwS'��!�i��=*LB�[��=7N�C� ���`�(����C_�f����=
�
�6���V@ ����^�=����fVh�K�L�M
e�
��7f�t�@� �K����$�2�z�x
����C��ia ������8`�!��
��S�0��y�Q�����JJ^h���6eE
NI���#����� ���T�9x9���h��!9>�-Zr�
K�7��c����%Pe���]� :�b�+���+T<�-��8|Y�e���o?�8 6��B�;�����
n
�����������Oo`� h&���G`��Mm^t����������B��
\��������=�!�p�*<�!
9
N$8�`����I��A���Ii������e�;d@��X J(0
dh�8vbX�@����c�@O���_��������+����J���W��@rE>�01�N*xTaO��q<`�A�����&��Pv+�
7"�� U�Z�H3��~B'��1�b6�B
���Pd��A�9��8
�BJY^);9`F�4*`AJ0E
N`���?��-
�����qf!=��./C<B>lK�e��=�"�P�����i��!���P�������1�)dS���h�sb�YA ���� �(�d����a�%�~�A@�
�E������3�N�eE�[
��G�� ^�����~��s��\p<���.�5�8��
dMG�^%��P�/z�Pcr��
r��
�%�eBAj�. I�� ) �7R?I"�
�4vab�����
(Eo��5B
�J� ��������6��
�%�
�D���Xv���pR�����
JO�Kt�r�3��"d�\�_y������0a�>p}yt��Zi��8��
F^�\b��(�?Pa�������Ta��v��i�w��z
Y�r�
���RZ������ V]r� ���d�@W�����B��$D�o��M)�M
���1�WQtG����^�y�e���^��
''",�d���h����Zc���+��ET�CB��J���{�nXS��B���j:!a@�$ kl6
x8��>M�'�<$7�?��'#��Q��A�����m9&�,]p��`
R��� �H��.
���8�bN�V�Q��k�+�M�{
�Kl�]��f�!S� �
�4����D�Y��Fr�/"�5���vuh�Px��#� ���(iA��������cH��T*@ ��%P<7����������#
-�9%�����8@X������,!��5��t���������o�e����b
�����j0F��-9�J���)��~�b��r������y ��r` �$�X���:4"��!$n��,)�=2>�4`C�M�7�z
���&��dKy[����#eCO������])t�( L`
|7�h���Ad8�l���R��
6�y������
^U�$�(���i�3�r^&`��@&�YT$A���C����
C(P1o{����$��|������PA�j�T������.0�LT{t"��
x%d>���
I��3Ly���R��4�N�����J��^������
�X
�9�pl ��{�� ����;4Q�e&�]���V�f�`����� ,�
�$�w���%
���]9�M;����i���� ��d��s
g^����V7X��7���G��>���%���=}�3oV9Y���}O�~ ��
�rB�s
�������A�+c��P��iE���c���0���<�
D���-��� �Mk&�BHw���y�;��g^���. � 9@8
���(}Y����an�L���MfLW �o�(��]�&�p�r] �
Z1�d
���+`�����X���
��.�H�VJz��Cn�AN� V��XO�%cA�
�`�����^E����
z
�����)�`#�rJ����
^0Cg��P�����L.�4
�d��8��c��^A7?
���hS�()��94��a���1�<�9�
��
�c����
QAQ��
����4)s]
!
Th.�(
�A�U�.�5
����XED����e0��d���
��71�h��
a��x�����<v�
�
�Fy ���4�2�b[��2�������S��r�������`UEH1�\2�b&T$C��h�����h��3:���P$q
�QI_4pV��a�CW/��6����
�������W������B
83b��t�������.3�|���@E��&a�2����d�X�H��L��V`�!{ N���+�)3
_��05h���2@GhIE@���"���GM���@ ��B��
��Z�9`i�l��`�y`�`��O2j� -�����M
����
�Kg�p3J���> o�S8����zP�W�0p�\
1P6�-L��V��B�N��K�%:I���q@n��r���J��.���>Vr�pV��
Kf�8`���S�
���RXc�������) @cz �8
A�t��x����A)�f�B����s0M��g�)��#���p� f]��|��
�]N��E\��8��$Kx�����-F��K$��.�s� /��<����`����R���#
r-E��.~���t�
��Kjn��.� ���
��WN��J R�����U�!
���D���^�K.Z���3�RmC���
P�$�%8J�L�@)�
m��6�o}#�(�t_��
�
���xS�����B��
�^��Ip
���!=�R�����y�`O�
^_qy������e8#������Q�G|%�2����=���'+ �x#���&
Jb.6�jP@3�����9�5A��8a.�@?����
@������/����� * ^��mH���.�Iy�^���-qhr ��x��.��2�K�������N��p�H��
P#�C'��%��D%�x3�d7�d��L������0B������y�eK
����p�
����
����G�
���'s
K
�&����s�A1��m��v,����rk
z����R��
//�MA��#D��5���G4
x_
��}q��Kn^
�)�L
Z"�@<�>�T��<���4���@-�+��3�m�/J^�G�%{���/d1������O�jC�������i����qDhf��vhC'�������w@�X�
��^K1m���O!AB1�D��5���K x����e��/ c<�(&P�t���S�8��q�k������O��B�1DTa�(3D���4(yw
i�A���N�
l������\>�WZ�D�=_���g�q^>3�����C�L1tK����_���FE�O@����P1
�
����<��a_s2��d�(���Kzg�N ���,� ����
���N���w��P�vE����R�������yH�RIi)n�^BM��$������q�*�
���@B�q�]�=tp�|/��X�=��|�BH��'�m�$���)���U��B�1EvN�
�}�����"��c��O�PA���
4o��1y3� ����W���Syg���-F�P0�r����a3^Kb$�q�8A��?/�7�������V���*0����t<���0���'J�O7L�������
h�� ��
Z��v@%��(
�+�^�k��xt <q�������4��
������!5h��N����;U�Q�Y��G�d�I����)����8�#<�$�R��y����71]�"@���"�� -���V!�6������I�����|h�����,4 ���A&�qL/qt������+�1�l H�7��W0��W68��4�g4��n��Qje�Q�P������)�&��M��9�"�#u�]K����:���
��]Chb���S��KB����~�>�\[���+
��IC����9?dF9�������.��z�.�&9�����d�G
�8L�t�
M��
�
?3��;�c�_��J
5�h
4
��c~6�
�Y���W~��).o��2G�*����B���O�����)3(v��F
#^g�f�|�@��
�6glMd��i���b�yc��I����0�"�0-���6�
�BO'�
�M�'��+����#�a�
�M`i�*�1��gp
Q<������2p2���h���8� �X����t=pS�3Zj�{b A���t�h�����
U���>sk� M� ���A�i����WzD��?�ZH�j�3����?d#�>#� 07���W�������Bb���^�o�N��X��7�8-�8YD�����j C,
�|l���5Jj��X�4�r�d� �?cl1�A��z�2��n_�)�,���C�w��'�0��^)X��!2���#
W�;�tlj��~!@!5���oE�U���
#%o>%�9xR���(S������B[������*&!�+
z��3�-Cz�� ���=��!��$O������EH�@��Z��=������v
����bI��@�A�s
��5
������o�����C?�*�
:�Y���u��4����v0
'I��c�����=��>�)�����A��;
87 ���i�N�
�H�A��aJ��
�?�v���� ��B�N�y������H�B�8 �4/���@bA�LJ�\z��`r���b@���9a��d�ds������<��O��w��(C�//4����)�}� �CRc�T����!npT �#�eh��\Ck��
q�<�zC���AC�`�2��������,�m�dm��g)��oL��
�8f�/���,�*C?��c�z�E�K�������E�6�yJ?Q����4��)��z^gb����:2�
\���
�c"�����QJH�<hG�{h%h�'k"/��$~��2�����L�?`yI
�3GU�
������3:)�PJL`��5,�$AW6>�
;f�����C�B��+�<Z~h
����#Sj:D�c�!��/
���{��A�B$H�(���P�Kt��[a]<��x�M�4a�o
��D389�9��� ����xXX!��C�� /���b@q m$��L���t
G�t�v��m01^��!U
��5 L���+m:�'
�Nl���c��(��%/�*>IPj����'
�(P�A�8 ���/�s7�%�(�X#lr���b=��m
_L
��s
��>�}���d��W%�� N�8�������Lmh���Z�!�H@ ��
�R�aiA���r�6�
�L�N���r������q�e�68�8
x9/�]�T3o��
�P=�B�TE�0�����P���b�cQ���Q�o�t����J��
�t��J�^�f
7MA�/���LA� :'a��MBx�����[�����O���fA,^
��"���%T��
�At�M.}��p"
�7����T���/��D������4�
2���?:���u-q��t ~�4�E�pl^*����:��\���N�t@2��jA��j(�AF�*�KR�,�������%4��� �b^�9
H\,�M�{�w0���n��g�fa�$�,bF�+8-m���%����P��;��g�U=���
�"c�w�`G�����p>����49*�J�m�@f�24��P��2� cLZL����E�� �/v�M�.�sT��Z�8����p0B���!�����I�`�3��R��T������q X++�3�d����h���-
J}����
P�WgPn�)�JZ�GHf���
�b������M<'�� ��
x)�}�9���K��d
����!�yvx��8������A�7S����5b�]B�;&�\���hqnHw����M����
�P���������c[�o�I;
2���1���'�|�����/D@�N�z��Y�@
���iF�mdK�;�L&������ t�w=���e
��� ���)!qKz�:��+���W�
$�2����xLT�����t�#z�����������:�Q��p�����
%�eN9���Ep�
r�"`^pZ��
����i���@ t�������!'��
��+,
T���u�� ���~S��i����z.#{+�� ��y�
'.���x�:�eg�_1� �t
�K�b+�#����M��@�����b$9��99�D�0
H2t
4��W�3���w3{
m�L%%
J-��'I$x�91{��:i��4���9������Z�
����a�^�C~�XI"�H� �����
���C
Z)&� s���.���t4�����7@Tu�Y���3�'��1X�V����p��S�3�AB�_:Z��nu
ur*� (
t}���SB[$7OP0��"���^� s���wM�$ �.E �hM��<��� =W��� zP_��NH�����!�=F���A|A~�6��P�q��
��A�.��in�9Xd^����8l
�,!6IK^�/�&igb��DPLzA
��_B��c�k�/#�L�!N(�����R)��
�� I��T��y�&QS��~L�5�*
�\�4 �PI��$)��Bz�0��:f���>��b4)��!#�����#�
�d���-���z����@P�"H�zA�JZ�
/����x��X�*�}�����B3I���
^)��
��� 2:����vh
+�pv�� ���X��
p~��I
��F��W�D ��J/���q3^$�~$bv�'�/v%^tv ����#�
+��Kl3U�����`@`�
�3�d
��A9���?a���-
~���0�%U�l��
�+f���dt/������Q�qF����jR\�$T9��@�) �y���\0��8�e�B� eC��V0�4
�Z�x�6�^{)�P@^N4��z�>�D[>��b�r�i����CX��d�}r��bc
f(��`.F�@%C�~���`F� ��h�
�C�Y�������e�f: �����T�]s�y`�1L
>LhS�������m����: 8�&�\�D
��C]}�/S;���oFG
�7������u�K��X�L�w�:�^F8p!3��8VN�F}��lf�8]2x������n]��`Xv��a4x�����
�
�c3�=���,�M�
A�X���Ow?��*�?\L�`�����1��Y���
[ P1�KYb
�(5�+���%!2�$%�v
�|�����J�3�l����8�\���`��z���e
�]:j9�/����r �K���l�g��(q
<���VJ:*p���/�a�:��2o|b
p������'%=���bf��A2�
,�R39S��>��l�H( �
��>O
PqdKfh\8�1�(�
������I f����r������WTA
�����L
���8��d
h��O���p
��M���a�.�=}*n�;P�i������
1e
��KH��+PT��iS��q�w��>Nd�
����&�����B�bX/�x�X�k��
�#0l(��Q��h�������������%�|!��vh��p�FP�`�$1�������o4MbOrh+��t���1��'���b }'�OS��G��9$q��d��8��P � }]K�Ey����M�J i��<�
������R���p9�����
����.��Qh��v'��M�����2�(�����[���>������1�T
:$�c�i�����
|��HC�La vH��
!=��&o���\^7���;��h?I� �dJ����q�c�����.8GT�H�(d&1�m:�t1��M_���`��+
������oC����`*nF�t�Z����QaZ
zU`�<HzPC�������pK�d9xuJ2#E"�Y�$�R&��p�:����6��!��
CD$
��x���+M��c����4����F���������� ���3�<$@|)8}@���q]6����� ]����c�%%�@=
sZ��
�1g`c�.0]�`:,�8=
�=��x`�%��@#�s�&
?q���*�d�z��'�/�=��!tN�A�-NRH?7��^F�p\��b-�Dc��E���2
S�aT>sz8���D�����y�<�"8�$�f�����8�UNg+��
X8��S�c�9,lJ[ �
D!v2���)
���1����}:�p<�XH��jO0��+"�l{
y��`� �����@����x8��1��K��
./���)�� �il|W����A9v�</N0�*10\'P ���L�t����%1���+
�Ct[�����K�1�Xu
x�����M�
0�t �K Z�(`B:)1�:p!
|:���0��a$� ������"`4Dh&�����
p�
H^FuA%
�>�*x1���@;F�vj��b��^���v)�;����g
#���_^H
��T�������K���l�5���S��{��Y�X|i���0��E�W�g�tApi����]"6/}��G���� v��P�f�,�5L�9X#&�$R�J�,e�����%�����{4��1��
L��S�fI!�����S�/���|i�s��Cn2x���
�Y��
�������F��3��(������"���%�,����W�`�m�`��D���B>�e�M��V�~��@K�
1�Q�dy����9�5�6�~:�K�����T�ha��p�.� ��F?��'4��~�0c:`$fZ0�#+���� ���Hd
g*w ���_���i�i����X�->�K*h
6�\h��9���3x0�
S�$!
����v���a��9�0��;T�'mG��� BjEE��2���,���@3(������������/����B
��G��h�\&�uW����1�Q��l
������^�wa�A������2b
DJK&`��L(LuD�U&!2�n�C�@(b����B&TL����*�.s �6Rz��4�eeV1�� ��s���1��VP��r\>B�)���UH�:�����M��4`JN�ML�89q�
���)$j
&IB��]�B���'�l��d
i"������r���04�h�`���2� �ofq�:p��[/�z�% �p�12�Gt�_�KY�/@
S�
�����< �
?�(��������h"FH2.'���(!0z���b��.���j���&��$�����
�C�J0����y�tC�}������9Q�US�YR%�5eYJF������$������|��"he��1 ��q���9�b��!��$���;��@��=ji��B@��dt��%g�S����=.x�2�?��M'
<W�~.�d�r2KCT0�;�SR�nB?XO��@�`�(��v�7���%�/�P1�pFo1Z
:�m�Wp�<ND� ,���y
�!-1@�(xU��cEx9���A����t����[�E@�
��@/�9�������2s�f��kG�
�
����IS)�>���6z;����c�J
��G�C���d 'fS�
'�YN�
�����`�����\P��xu�H~�2���:K�4
Q��~h"!���6�S����
���br�g@_�%@�+D?V�a|
i�DF�<-�K�u�R�FX�p
8���L�KK8N"S'qr ���f�5�J��B�|��b�@`tKaN��fvG
P���\��$�%�2Y2Q-�S�@�F
�����b��i��Sy������q
�4@{$o�
�c����U�z(K|bI�D����p�@�^�VsA�gLS���
�.���o�I�y�
��ai���D`H!��@&��
��1oB��W�_�������m���2�
����##����uy�+=2�X<��/y
B�b�w?�;^a������
�i^�)���
T���c���(�� [�j�C/�������i��B�a�XT�a+m��Q9�%>
��2dP��@v�$]�V�
#0��\
�+fg:������M�����3������F��������`$�������{.�.�� �J����~�^�!/i�
����5����P��{�3�2�����" ���<Z�\�E��/��H�<��6=�p
�"@�o����������p��
L�
�
��\��.����fN9���������J
5 H�4t3� ��&^�������
��J�YO�c
�"�c^w1U63!18��1��CC�G
�H�:�Ql3��C�]��mU���D�E2���z����
c
��)��B�
���N_T�������@t0N�f�%��2�
�##�0,/
hdf
s:�et�,
���L���F
-�yEY�6 �0�e^����3^�@00��C������dAKq�`�f��
�������
��&�%.��
:B&I�����B.f
������
^'�\�zs�1c~�]�
�+�����4^�\�����|`����)�`]:1��7��
��JX���Q���&��a�h,o��c�
�Y9�x��3����������
7d43���
�
���% b���1�8�X:�C�(y�ZB)��4�,)5Tb�((�]��������,���A����=L
��GG._
���F���Le�S�;�}6S��4�
S�������!
��e���d3��EJ����h��4���p����k��7�B�T�E�O�D(?90
Dk����8" -�!�$�o��Y�X;^��x0|� GA�E��
�m�n��#)���� hx_�l�
����X,� ���p�*�b������2�
�j\��K�r0`�$��L@w��"��)_Yc��d/��"����\["�}�N@�{�p��a�00�"�)J��"�H#�%f:Z�Kwy �R�b
������NY}!df
�8� )��C�
8r��PzC-�EyZB�0�5������
���qY�I��1��������0�L������T�3�����K�1������j:Y
���i�#� 30$� ���J/NX�pr0p�K���0��*}A3F��=��?U.X�����y`�r���[`s����������N���)�
�PF���
@�H�l��.��%�B�M
����}��2\�9b
�
��
,M|��En�>���(������;���� t�
6=���b��tN�Vz
dq�S�H�(����C����DZ�4�0�#�6�S�ar��/c�0���G�i�xsX>#��ib�e�.�L��[�M�Ky���`����Jl��~hI���C����*4�NYH���!�ql�3��G/d��1�H�}�0���`�c���H2&�d$L y`�b�����S����^#���A���b~L1��~���
&��#@�
��
<�� ��������������.L��x+J���wLq�A��$��P���" G��w��I��y���E�c��n�
�tB�}���L���E�
qu�8�0������ 8�
}h P������n������YE
��ZoA{�m�@"���������!�F1M{��~f���(��#��dfVq���9�sZ����,.�;�e�T����
�V%�%()f4yI�l3�����+���"���(�&pw��`��B2����v�W��� ����c�x������
zmIU�f\
3���4���#�bx��Tb������v�a��6d!PD�����t9A���*'$$��
�+g�� x&PYY' 0iJ-�Z��RaE����w%�m��
��>W*VE_`�k2M�.f�{&��2�mQ���K
K�.&I�|���-����(���s���)0
����60���,�B�,�@0A�D�t�`^Pl{�
��v�@6(8a�~����
P�c�
���,���0�5��X�J }�YK�
�"}?�Om��X�T��p*��<^��
��%b��s�SB�`����qO�U}#������*f}�\���H!A�6��a�8� )��"m3b�K��a<5��I�"���q1��������+&��N��L�Q�����c`�
��9����l��L �_��A���X;��!D
��8(A��|�M�n
1�#���?0�M�l�
.�<%�
7/I�
]�C�
a���d�s�I��b.X��~�9�����6��g����:
���$Blj
�_�]sZa���A�p{ $B5��t������d��b�����ex��1���s�^�=|�>�(�;I|1l�d����
7��
n�_�!��X�D0����^�
���� �]�zz���o��@��U�%���Xf���)"��!������n�q
� ����t���=��t`�t��=f����c�m���MT���!66��8bkwI@
�
T<�@�X������x
����:4T�
��
H
�R��I�[����LL���,K@�u��!8��I���
W�cM
F���K
�\ j:�1t����i���P����
���8D�B��",M�C��"`�*�Y�q���N' �~����%��K��@��17ie�����
�
�4�b����e���\h��t4��g)77�d�(��+9�c��
���3�����a�R����
LJ�0e
K����AE5��
S5�8�
+V�a�U
� Z�NbX
X?����x'�G�o���;D3+��0�����6�k�}����D��/%�<�
���J'� g|�Z��
4#�
�?)��
>�\�=�C/��bE����P����{��7H9�w�,%�0]RhC�e%�\���2���2}��+���L`O.��d$LLB�'��T��?15`���6
k
����c�=v���I���������<�"?*�8���8f�u��z�*"�������f��N�X����E
*&���NC���7s�D�3�0)� �%0�����
��0�]���+��T �p�hK}r8��M ���^�3�:-��'L�������
�rt��(i��%F$��,�$�������
2 2
*<K%1��Z!!ao��sET�&���D
,E��NT+F
�!�X���b�h(b����Zb��g��9���$
�$b�Dp<FA,QU2�
��1�>����=����A��"c���
�,@��w��z@��
K��X~J��`���A��/w�S�v�A��DT.m4�&�������.���2 8�����(
�?C��S�;�D��QT����
��Qe
*��2��
�����}�5(C����+Y�'/eY(�]*���i^@�E$�o
q�
��y
������=�%�u&���������������s�A���,��!3w�fA����nih�����9���>"��`����������3#VD�X� ��Z{8tP����d�k<��I���Y���5�I����A9��
��IzY�,J7�n�g[��9e��s$��������<�kY�prs����JCq��]{�tP�"�������A>��.��BIO=[��r���L�[�*2���{���e�2������@ �"�O}���M����
1����iS~u��� �F��i�FP�g�V��q��,L��J����H&~,���� �^i��$*!�|~9�%�Hs�d�
����7E%e�i],����7:5yl�g���� (F^��%IQs8��#�&G�&]�S���b��Y��wq%��oMe��|��k�|W
��i�����8|o��UG�/9u��x����N���"7a���:�D$7���������z�
y"w���
��n`�x��,8X����uvml��b�0W'8����������;#W��rR��vG|�!�c*BC���EQ�0Hj�N=�����F�s
�T�9�
�3�G�*���:(\3W��a;����9�~MSb;����V�S����V1k���jFyG:�����zL��=x��_6JR?�`��
������=���8���@]�$��.�_
.������p6�(�M��Wt �l]��H]���m/�77;��.��y\4d���UCR�����J��Q���^L5�����oATP��7B�^����u������e�Y��d���K3@2�
�����p�AB�� ����_�^�\��
:�a�)
����^La�
�*l
���i�����@
�X�w��Z1
���>��M�7���:d|��u��M� ��EM��kyp��v,����
�s?���l��K�/]
Z�R9�� �����v������� ��pP�Y�Z�!m�7F�DP�.}��5��z���oBi��;8��<6����4�*�)��%���]
��.L�a�.5q��R�Wz�[
S���\?��@����a
�h
��h
�~6�-�/m������\Dy����Q������.�����^-��S�\��5��������0ya������c���jWM�}6^�2�B��[�VM�[
&
�9��;{|�(*YL��N&�Z���e �����DM��\s
J�����_���Y}����GG���l������6��t�j���Zi����l�t�6��/�}��vb�����$����0�7���*i��s0�3�F����G ��AE6��A�-q@���\z�&�7+�����x�����
�w�%�X�X��m��(����cp�J����#
H��������Ym����u4Y���N�Xm-%��_�#��Q4ny����<%4�
K�/(f�o��d-�x
�`�fI9��wO^��ES�������U����&�9vjk�����oh~�x��b��
�r�"oQ��#��*-D~��
�r�<4
'���$Po��}�y��>`���n����;��I,U}8�������Z]uz�$�I&�+1��q�s+�!��<�<���C�o�A�
�[���%��C����`��HT�^��
%g���
'E��x�C
����_l��K{_Uq�q�c�wDD�g�X&P��6#CR�A�)
@)�x� �}�:��`�Nq����9�r��
6�Z��.Cu�I#F�����G7w�;tE=z����q�(j���h��}�|U����5�uOT�cm�ny��d<�6�F���<V���>��N����Q�M�����Im�'�&���_^y;e}���K%�L5� �������#�C/}
w����D�j���l5yJ��P�y<��%%�u����3OV�l��A$��t�?l8�i���n%�)%
f.������J���N� @t�i
h�9�����G{h��U�%�
ym
��
�Q�J77�
�N'�)��.��N!
�<]u��r��p��A�r���1�a���"�ECy�m2��C�q��m?2���;��H���]�zr��"
g�\�t�4�������A������A�S���
��>���
G ���^���{
o����y� W���Tw1���4���r�
\U��'���2�|���c=I��V�K'TP``9��9��E]��\k�- �Ry(��0ts����1���eN&���`
,�I�4�X�g0���q�1(<�+���� �>������g
��w��!zr�9�zHVS� ����&;L��<� ���n�����X
g�A��������.�����x��t���_�r.L7 �p�=������]���y�~�b����I���a_m�
��9x��
D����n���)M���C=T�)�{ Bd�|G��������>F_U����U�T������B
�.'���.\��/�\��~������-`����&lII�Rv����w�F������q����������H^rG��@`�]����G��+n;��8Ca��2|m`�����:$F
����a�
�F�������7 t0:9I�j�X)���%���6\����p=
��=�@)���S���W<
D<A5�@={��c��n
q��2���Oo��VU�O-��MI���5��.����4��R!�<����y?)�m9�N�
J�Z�Q����������;�D/��9�#a�r@E1���!l�
d ]�QM:K���=��Q���~�Zc�!�V����}
gWx
8*Z�h������ *�O����9�����9^d��������[���R:�����G~M���-'!s(�����)��mj����$�Y�������^�B�Y�
��AL�����:PdW��s�LZ-�k��~x�^r����������\Ne�"������Q��D�:��.Ip!1�
)����Y+IEm��U��!�)ws������Y�%�YU�4l�������@8y)
O�
p���r5�O\"( �*�
�R��� ��S���5�]������� �V�
���3�^gr���V���c���)��=���BH
�\�a?��&�7�&<'���4WCndt�b���bE������r�u��*�u
S����{�*kg� U��#5C��Q��W����G����I����Q��W��Y��J����kr�U.����U�&�w��(���X������I1��3Y��G��8�������������k�����c���$C��Fzs
0�\��������c���2�9�"��Z\tE-�M���������HJ������ 6�y�a��Fg.�b���
?�yd\�
b.`�8�y��2�&�����2�Z��aW{���j�b��
���� + ��eq4'?�e:�"CJ0�����U�=��,H�Mb�7B�E���
�d�������8 8�v�@R����������~�����4�!W���SmJAR����%��������k_� EC������Q�
5�L�d J��h�FoN�� �p���a����R�����U��|(P5[����"KT���OL�'��8*&�l3��4��� ��#q�� �Vi�
x��^�'��K6�����v&��l����tZ����R�tx]�F;Lq��x���y�g�����E��G�p�c�y�;�E~�?�Y�<�eA��s����)yaN�����9e�T_
^�"��Nh�q,��
��R��MCS�����]����t�n
e��/���������D�����|�+Ja$��)����Q���aTm��(W�>�i�{��QD�,�O�%I�q�f�t��[Y�V.�>�Gn����d��gq������NZ����I����T?P��# �~�?h�p��rg��?T��@�^����Z��)�&gu�T���������]��
Se��2���)k ��:�������GS��+S��<n!�
�J�4�W�^����������K��T6A� j
�O��[�����|:�����P�+��59}4$K.��K��~��D��d�2
YC��U��\������`���K**��O��'�p%'J�����5-�%�@o�C���]������g�������\�uM����8�����OQQ��H�������a��/���H��
�(����~���F��mP7����ru3�\���K
�Kf�����%K�/��
�)3�+���;v����(�7H�����OG����cvUSr`��)l�`�n�����$h;���.�|�y��d��hdp�:�p���z�LM�&o#�#���
2|
���0���k�^
���u'�=�&��h�O���O��]�_*u�c��m�p��s4�^��zi+DDN�Ku8�2�B�N>%�x+�A���:{jZ!;�N��pQcJ%���3.g�G�^���R���s`�������t��HQ2��0P��r���^���p�|J��k%r����Z'yZ�*����<�����l���ng��o�Cr��
p����<�����������������6����6;|������sR���q��T���
.�Q��|�/gr���w�������c}
,�W^Z����TH�W�����S��.3�O�q�����M �M
�����B���� h��P���}�E������.�)
z��[g�\
����{z�R��t���,�>�������������` �U"W�Q�����0����v���I=>�b��cc��Z�_��������,Q�
�GU�H�*�p)@bCQ��y9�T>D�IW����;�����4���8I�#9Hh"zn��������
(�F�
����V
����5�j�����5P��
*\(��f7����w���|�2/������NJ�K�R������I�e.��t�����2��#��&
�����$$5��"���8�lO��j{�*�z��_
#-�5��*3�=��_�����o_����1������o������u��*�u~�R�r�<lN���+
�~c����6|����J{��o��S���������:
�����������]�z��vEB��
�q�J�M����Sy�+��p��:�*b���Cp��j�~�k��9���=z��#D�����Q��\�%Y�?��q���.m���f���A�d�
��j �5�� �zKR��>�mm���j�.�@QoM�����Pk�N)��{$Y�\�(M��G�u�-ZUi�����FI�F��U���z\<��i(e�D]���t��4%���e��VH����������"�\vj9
�I5��
��$����+���
Y�y�K�OK�<J�$�N%)���j7�m�����@)��B�����H�����
!��)mkG����9�H�%�?/SF�5o�r��sTs��pk�9Y���$���*WU���|�tJ�9f@KKc#��Z����4
��������hd�nt��K��dj�V�o�A:���������;�"8�p�����r��
�"��D��)�5��;�/�=����1�����
fJ�����-=�oi'a���$�
�$L�wQ-�y�S��b��v�c�47g�fc�14����U:��pA/����z|�*�%�)JfV���b�[��!�����Cv����,n<��j���q�Mc��
-^+�#�d�Uk�o �M�Su_��$�j
��z�8�
����z����T�����4[r��j�3ta�y<���t
%}�i,� ��Q��0���
�%y6K���S�����)���7mj�X6����#��
�Jq�`V{���ue'[9��&<����e������-%���m�n��Ww�|��r�u�+��4'0�6��e����s�5g '���������".�����R3��F1%�!�<�Cv��b�M�^�K�m�Pum�D{��b?���]��� a|������X�4����^�;)j���
��[�vm�]N/�*=��P]8�����+��5�UT �>�6�d�R�=�]����^
�
��4
p�\
JV;Ebp
?��d����e����,r��}�U������]N8�N�k�^UX���9��'^�����&G�@`���
��. \|n�����KX�
���S��)�� ��C%
���4p�����|W��Hj`
y���,���"�Y5^Zc�D<�g��K�j+�N3r+^A��y��1��6�
�mE#�4�����9MB0��"^#=M�(���\��'�XG
�V�{s���M������"�%u��{������F ���������u�l_��)o[V��,RNc$�|���\)��"���
��>�FJ�y�iX�p��������
�)7���K����K
p,H(^59/��`
��5R�qMX|��M�:}v���sKN��������Y��[�c�9���-������ F���)ui��'j����H�<6�
.
�&�yR����]Tk�<�+��Ojd}���<��M�JA�U�5lQt v�rz��I�����dF��k��o�����a���W��{|
@�S�$�&�S�0 LJP�CrgZ�$9z�%"(���7�n&���@y3 [�(�B���b� @����� �we
�y
!�
�r�����
�m6cj��p���k]7�����S�������/��!nb����Q����S"�
�����*����!J���'���r=�,WO7 B�B�
�����v��lR6���������^�N5n�W�_%��<���|�.�
{���h6������\�M�[+ ��qkY�����^
nF�%��/?W$K�ed}M������?��2p��l
e���O�_�bM'�cF�{$�LG��Rg���`B[��l��|����x r�O|��T1��0����`��@��4!�b� �p98�������
w���c
������MH*��y�Xip"�b��=
4 CwD���V�}X?V
/�2-&?j,R��o������>
@��0A&.'���C�k���!�es�]jx���\
��J�����zv��%�_���Tx�Y:�����
��8�=(y8_�����j�T ������'%��4�3�X<����Oh��t� U ����}k���'� �cQV�q���(�������K��qER���^��������m��������������E�},� :����M8zI
������P �����. kn���TSIrk��L�t�R0 x����ZM�/R���Jh
�S��1�oI����v���-����"P4[���b/y�cX�S:��^�[q�t���
0���K�d��������mO{�T� Z���v�y��
��a����a���V[W�[OX
���]o�e��:����?B��Y`��"�k��\��CWN��/ON�j$�����O��h
���v��jI�15i�-������������,Q�����p�G(���
7�;�NQ
Xw�$��PQ"]{�f7�W{����Gm�����~�s�"�A.��o����,��Z��L�m�L��
n���Yy�>eYHG�������#�`
�� ���2�\��Q7�K{$�K9��w� �e��6l�&\Z��
����S �
����YA�k^�u��(d�7��{�d���>(�,�=����k� �
��$}=)[�eb��"�����.S`���r?���������cE�w0 ��QS���[��RE�c�:��\���x�
�d����*!��o
S������\>S_��eopd�(�K�����6�#������
�E
3^��P�P��]�\r�
�X��.�w���XI�y�M���G5w^
.�?���F� ><Gp�"O`p��aV�F��JT�M������4(��a8�V�-�Wo%W.���E�w�}T
��r�
qlIq��Yyo�&qIf�T����O)Z�
���`�RI�J�
SN����(65�
��I��8���X�n�:��M*�5���vW�N��$�
��������x�sj��U���d�� ��z��.�`vw�R#��*���KQ�� i&J-nZ<2���Y���
�,*�������
Y��
�wUS^�Q���U�M���.?
�M~l���z��\}u_U�[
E>�T�h*
�hE u�`)@KF
x_��%BS���G90�z��c��� N����(d�c9���������A�]_���r���
uD�t�
�w
v�T�����4k�C�
��7<u�u���F� �
N2�����E���r
��8aO�{��gU�%T��;�y��Y{k���Y
�2
t'�f�
P��a "����
�������_��/A���45�yA��I�����@
3��1>j�G�n��}�]���:mTw��7�p��R���T6V��%
���l����vB���i���r�C=��Mr��F��9^��{���[|�k�n����?�8� ��5���c����B��=�6��j�l����� <1��MVB�#���5�T^e����L[�en��.����[{��_uD������-�>��4>q���<w�)G/�zf)I���]k�_��gF-��H��>F#�J�#p����\�O�A�������
���&:&m�� � ���5���LRk��$�B�����������Z��[yCE����.��T�M��yb�������5A�i+����=L��������n��:j���}+6�[��d U�j"O��
R���v�A�[���BTu�7=��sN����T��2`����Z�T�
jr��R����t
8@�����]�#]
N�������l��e"��r�Y���O�^��n���~$���6K�����
�X��3>��������R�
�O0 �4�����t���������
�YB���N�So���e9B������]
�v�)�9%��:z����gC�u'�����$�|m=GH���� �d�J��7M�������8�-9��5Rq2�aHv^�_^�D�7)i�A�\��������O S�
���Tg��^?v���
��rfxR��z��qO9���������*t�G�^�+g�30He��:�r�)���J�/}<�GF������A\�%W��
v� �
���
��;tr���#�y#�0������"����J�L�z�(lk��k��;
�j����Qw�d�TG��@WX^?���KZ�r:]A���4��
F�f�1l�@��Q�_.�
"�V���������q"5E'��J\�{�)Z���&����TnR<�R��"K�!�0��q�@�5'�5�0���o'z���I���
De�pQw���|4M�<����X�UR�hC�c`+>����aD%��v,���_�z�����
�$�$
�)]�
��SmHR�t�J&d��&��!�n�=
I�
����q�Z���[
���"6% '�A
3.D�����c|�3�F
2�r3:U%��eb
j�*��
#�^>
1��N��n!�������R�[_�
nUr�-�r�����}^Y<Z��d]0zZ���>�B5:��fN���^
6\*_S��d7�\�^�{tM�����v��Bj�/`��-���An��.�D���
����z�<��������M���/G�����SU��>M�)��H�v��O3^o����4�
It�(
�59�YU�zg��
�����i�z�r��OeA������BM�Fo��c��!BK��j�=�4���<�Rz�UbfR[l���C�H^,whsm�t��jW���d�����\�t�����������[��3?k>����jg�I�;����
s�ne&���Ft���@�0�4i�:\��
���Kn�S�F���l%�S
�H��E��������A[���N0��c��j��,�������%+��y��U�1�������g�
�V^,5 �����%��5��t���7���b�I�5$
[-D������������~��.q�����PD����
XH]���fK5%^�Q}t����f�gV3�q�Fq������������g<;p����������'�9�
o�^��W��4R�V���9$c��G����82L�J�
r�\�
��GN��(��\ �b"�������YH��"��
�����v/=H�+� ���X^��
Z[���&w�K�������!W/�e�V�$���J
�����|N�e�|��������A��gug�'��H���I��������/���
Lnt�$e�~�~�*����ax7� ��O�uT�t�y�kV����V\(��#
$Ru��������
��Iu:x�|�P����$�N��z���B��'
# ���� ���sG�e�3����n�^�����nA���_;��F�8S�����W>hp�
�OY��^V
�u>��������a�hdE�.��@��#�Wu �
T@������i$��D������~�
,��B���L�TV���N���$5&�q86b��G{�kw��y�� �s��h��8mVu���\�8���C������
*|�'�M\����w�s9�<����%Fv���Gr?u'�f�=@BYOrv�:����*
�?�Dij��C�����T`��[��A��k+ ���p]��h����
��K.uG��|
SM�`�
�E�\���tU������+s���|�
@������V�KA_0�x%IM���g$�#R������>����-���g��=uD�R�9�>��K������B
a����M�T��-��n[g�G�/
�E���o��#s��I� un�S���w��4��s�D"Z��
�'��M�]7���x6�MD
|EE�9�j��C�v���K� ���r
2E���rS����\�U�9<�*)�k��:������
�}�R���4��kd��t�n����������U� ko�����|]�Yr��^��1�
�Hr?fqGU'����P������_�M�a�
����9������d�8Ea�q
�c���
d����gJ�+��,Y�6/.P���m������1 'O�Lz��q�.6�����R�����
�t"y���}
bU�)������Cp�a(8�X���o���@���m ��}/��
�r����7%�.T��
IA��Vw�R6?
����;d�*���3W[cJWp4pp�s��&�~�dN�M?s��
�>���ti|��E��+�I)�,��0 ���^�1�2(�ry��BB.c/�����h�������������Ph�
w�NiU>P�C�F|���*H�q4���|� ��}�`�1�/���>2?@�<�WV�&����fU������Ep� 1�� ZF����������vI�S!���[�"�����n"��_�D��?�����_�����k{H����K���u�-":��W��l�h�������
Y�W��_��v�"k�?�
�v<���
��W�eiK���c��=��
������{}
�S�� ��
R���!��Plg����:��7������E��
�w;U���3��I
}.��$7��9a��Kq����|S
)b���&L��G`8��E-*���'s���fS�1
O�Q��������������j�����V�� B�GH����($�W=�u�
���n-.^}\oH�`=� ��J�wM��
��1�=�!�S���g�v�������I��ZO���
j>�q�1p(����{>�C%����Q
�_>���E>(���C`�sSet9�B����
A�o-y�
Q�:�lve���@�I�TrR�M����P]�`��iZ�^n&��8
%M��vL
�6y������ I�T�ZXR�������&���p�� �Z�&�F��l�jI�W�j�>�#n�k?�2�P��QlN^���a���PSq������a
>:�X�}'�9��od[�'-�������N���j����Y�~v�����������e<
���?���O��e%]U��,D�>.u��a�
fy���}q�>n
�nvp���
<{��\.�U��
0:Q7���{��g�q���
��u��8�c�y��S�K�f��[
@�v�����-�WFw�\J
���Z���`K:B�����������#8���f��X�p?�G��%u-�=G��+���>��>[��a4�(Z��jApT&�>
�8�zmLk>��W��O-#���6�6?n�S,j�d�
��
T����G8���!S����9�
�6q�A(��^D
�������@����CSu
u3��: *���j�[��
A�A��l�����;��+����&*�hJl��J��u�TG� r��}���N�nSn���
��6�/n����E�L�]���%?>
`�f �u��n�L��L��uQ�e��X�P\vMP��e ��)��R�j�syN4^����
�xR��P��I��&�G�E�'C�-(K��=�'8�,
�xkV�BvPo��.��I��{���&�����.��h��y��E��E(����8��?��
TtH�w����\
�*����T��
�Hp�iI ���#�h�c������r����R4�y�?�<f�*0�Z����������l���6�Nl�:ms/�g����t��=)�w~���
^]�=o�b����:�
�?�gHn%w���w[v�)�/G
���K�����+� ��
GA�
��$�v�6#�e�EM��&R|�R�#E�#��I�+pQF���n9�1�~����=#�w�k+�>��,��!��P�nz��H0^�%�����^�����l��:�������H�S�F���U�':N�y|*���R����/,n����G]le���vY�z]���aQ
��-�F]\������ �����4g8Y~ �������4e�:�R���{@��Y�P8�M1z���n>�Z)�T� �n�o
T� ������^wg������t�\����|��
Tt�����8���&��/N��\RG��p����{.�1�0����QG���\Nw ��0�H�PK�x,v���7���,G,*��<��r��������������L�4 �JEq�;���1��|���t���{����%�(?��C|�<
�_����T�U�X���#�Fa�����U�h�bV�
�a�b�!9�T
����J�e��R@���I���#'Ucsr+��*
!�,��a���."yX9.������N��#��qbEb:�L�\]����cJ/��f��3H2^�\���q5n(:�e��Z���Spy���
��e;+.K��uGM��K'C�)������x�u~
�T��o~:HL��
o��s�V���:K?o{[���+�?��^r
9J�8
?��o7}�L��8AT���B�
p+�3H��?�\M^�gD8�����mclMI��HO��.
�p�
�'��wIi� �~
�si�<���Jdv�����L�������]��(jV������
�,3�*j�S�?-����� PE$��z7`���G7�Ka_/�kOy�����E%=j_��&Y������� *H�Ue
7p�k�ISf����(z�>��\5�5�TiN�Y�
�d���&�)J�p���;���H}sX+�t�|��]��t��/>
��t.� iUYU�v5#������ ;�qG9/��;�YJn�
� �o����Q�pN��T������)�nPJw!K%%J���r������w
8�*6���kJ���>������BI<
���@O��S�N
_�8&�������� ����|�%=A.�
/�=E
*A����������$�d(`��1��K�iWU��u��
.�����F�
T?�R�����D��]�h�q{�^r��[-�I�v5��E�
�q��_.�v����U�K�[Q����q�yi� h���ijZ��qV
=+}>-��v�?������Y����@D���&�8�3�.�rC�:-�$��i:�~�T(w�z %]���U���i�(�����0������,��!mYN�%���K�Z����x=��oO.�RY���W��US7E���'��Es��B�h�����#�Ym�eJ�����"I������$�����GT���F8^�S���@�7�<�y2]�!E�E����5|���FH��
���d�]�Jw-{ �|��V��l<�#+�����Ng�Yz+����5#�t�~�>]���;\�V���*4������e���Q�$8�w��*������+��i$W�09��
���"�P���d�
A�e3FTo�?�,�EM���
)�
x���> ���0�B��g
��v�V+�GOkjC�����s��V|EjZ��eM����u�����Hz
��
��k5����
��_H��^�R.G� kn�����5]_���d)e�)���S��:��'\ �3�Qs�%�FEW8��?Z�T�����E������
��w-5�405D��|�G���:K{�*kV��Lg�RkG����*��� ��?I�O�K�qZ��>It�S�
QDYM7 �J��
�GE�����������t�ExWo�6l{]�J������#G���Q���CTY��=#�v�M���$(VyTJ/N$�p���_'�}�4���n���EG`��z���G��0���~ ����'�������*��
��|��R}j����
�
���p��R��M�����d��1�5 �
���������$
xAJ �O/���1Ic�
�<���X (�v�C��pz�|�m@��?z�
e��*P��i��PW3�)@�i��!�T���4����z����w��H���*��d�|� (��!qF��"�f?�kI��Q�/3��%����bK0&
te��qQ�����*������uk�)�����Id�\��T�a������<�d�+fj����6�!��wv���k^^�^U�i
�����1(�$-��q���+\I�;��AF[�J�S{Dg���]���w��q�|��}�5�|���*�"��h�T��VC�)�p�������R(5��%�8�_��Q`����9F�����n��*I}��F.Uu��i�s������'�
�� �;y�q50���
� z�f�
�&���������z��?�K
K�
O��2�
s
���*�wn �<�W��J����}�p��N�����D��K�&w��L �:�8�0���inq���� ������f*���+D�
��AgF��b�a��@n \�����R�����o
/@^j;��F�7!\
P�
n��=��ur��Z�7wh��
����Y�UA
+�^�� m�������w)�����>\�6q��)8<.�h
uD��7: � VI���O��8�x����{�w�>;������*� ��P�g(9i�"�
m�?���T{x,���(��x�lW�5*S�8'?������ze\aN����J�s)=�
<��.^�������!��=��/�����
�W#��~���)+j,}R���+����5�b~��t@��f����
��-�'���+�*&r�(��p���KQF5|�9����8
������lH�{9Y���g�u*WVs_7m
���zE���
3���~��L�I���-b�������jd�����;��3�K#��[�������#����0!���`�����(�,(�
����/�\ZB��%��[�#^5W<��/�
�Z/+o����[������R
��cP���6�"rW��c�)���*�C
�����d����n�s5��vQ��*�GM�kB�Zc9v{9g�HGTR����W%Ei
q���
�
�$��myK�+wK�9x��� m����Me ������rF�g�=��dL��D@�
����UGw
&�1w�4��X%����-/����r
v�3H�j_�������i���G��cb�0��'�����][t
��H
{'��0������Su
.����9C\|7U������� �����%���JW8��
�hRq;*�;b�����,\mn��
�O�_�~�I����+E
M�e��(Ez�K��}�����=�A �{��S�YEwe���Z��RQ�!��#��$��B_n -���5���
n��8|�r�Io�F��-�h�X���
<fUu�K����
RO^
��n�^]�[n�+�E
Z=�6�t�J��$��F��p�JK���Dt���u8PB��uU�C�������-mm ;�43�@�R�XR'N�TH��
rI�F�<@�&k�.�(K�]��xT`~�
�e��Z��q;)���a1�')W��z�X�{j����&y���w�v���\u����
�
�L�P�:WJ��'�����TO�2g}ry����=j�b������
�v���A�7�K�r������JU�*Z����t��[�y���,�����g������
����M�
�'d;_��T��0;%Y� -�@
��I��_������L��B��SlR^
�wY�
���k�G �'�������FH�2�����3�OfO��.��$�rJ=;�O����@����= �r��=��'E�^��R����c�vm�
��M��
��n�
N$`���ST
��T�[�-��L�,vQ�l��
1��0� m�������
.�
��9Y�
��q@'J��;�r}���d��E�
�<s5W�J :����R�
fo�!�Sd���VU#�Tg���r�8[�b��
��������R}rr"8��8�&k5��S��W�Y{�� SnQ�p��=
[w���DT�y��
���m/��K�yE���z�����:w���o�4K
cU��MI�'��p�>hO�H�zDE~��S�I]����tNtT����3�@p���R��,��'��� ��I����m|�(Q�q��(��>;�x�R����ff{!it@MM=�U�t�y���f�Y�<
:y��l���K�:Dp� �\6�^u�/��@����{3�VWlj��� x���.��
"8��4�z����%�@�6���X?��?(4�����K�d�B��~�64
�P�R������?����
��?mI,���)W��-�,���'6�\���q�����7y����,�^�Ct�8���3
�S�4O�8fV\�z��@��t$[0�oZN��YO�o=0%��0�T��cd��N�u[t����Z
��k����l�}�M�%��
�B5D��%EM�������{������<
j��������/�D�=j�� '�`���U� �k/�-��d�����WGY�U���� ������EU��"E/���[?�oQ��<�,!
�3%��0<
=�L�)mn�_7iMPG>��
�F%15���4P~��xN���a���.s�d���H:,Q����� p� J\m�@��[��
��^��2E���x���]4*z��[��CI6e�m
��6��K�2�R�����X�Z7���B�y�9������eY������b Xi�����C�nN�W���O2�
�g�����B|�)�+�
/UW�Ku8p��^]Wk��H�����7�i����������.���O0�. �FW�.2�S9[�ovB��hSeL�p
��yG�������
T�}j����P\!���r?m�p<�����/�/�+r
�^���4��.�
@��
�
��? =��~n���H��`0�G)�R^��N
�����|����O���9F�e�d���
c�{����=�g?V��$�]_C��^
� ���='-uY���j�����Um�Y���ybG��$|��x�PS��~q�\@�J�9�vT�r
�*����5b8F��/G�G*���S�w�����u=�-@�6<P[��������V�`����'�/{������ �ESN�?rHU$Dis�pj<f�4cS��w
�=����3C�:�X�S��J�U�"��R�\z�
�(���?J�j%�8�<����W#k-�����&�y�cs� W96V�'�����#��U����
�H
��Q4�$�0�}��~�e�R(��-�j���M���j�/�����l�� ��D=`�jWn�E��t�����/Y=i&��^�d�/"�T-�=����S����\����(���;��C����N���.�$��%�����:;4)�i�)�,Z���++����z)��
�i�b��m�� ��NC���W��e$�����c����%B]��
R��z�K���^QT16R����\f
�*��*��=u��5��M�Q@BnroI�j�G�N!�!`;&�r#����QW��~��4�������R��I�
�����������U��<�#�#x�����o����
E���/�Xn�*m
E}�n"�s�W��j��>U��~�Z��[t�P��VU������6�.w
��z���8/u�:����!
��X�x��S�j���6���r�r�/�}
�.EE�D+h�T��n���>�%�WK
%��o�Ei��!�(����7����9��a[�$�#������t�nWI�7].����|lE��Z;��/�G����[��$�hv
�H�G����]�y����l^l���_W���1���p�c
W��f1�k��-+<e�����'~Q���E���A��zx�."u4��R�����?-5-�hW�Qa i�zS04�U#�V���a����/ /�9+��(�Dts3�a
�q�r���]}�\2�Z��c���E���r��
I��:�O������|]����&�.��
�qq����^����(R����l��%Z����� #��/�����Z�#����G+66�
�)K�=3A���ii�nG���at��_���rIK�9�A$n���\cWT�}����zk��}9)��z�`CSoQwe*;u�p�_x���r�t
(�u��f����(S�RS�e�`n,��:���^�
�y|��7���/`Uf��n����Gm�����o����g��s��X�����K)�E�����'�r.�����j�c��� *!$z�I_����K
]q���#�����I,��.w�,_$@7��t��P����[+�G� >���w������1��:�
�����_\��f�����R���S�C���%p��:�FWL�@e*x���/���'��M%qq�d��^�{6�m��u�OP����3����d��{�SO���3nE�5� �=�����#N��s�WMl. %GV7�����u(15[:mg�h���4.mu�R�
4�C�$)Oj����t-�_� (���B�������A����A���C�]��c��i}$���QwN�A
g�u�H���o����M��O��M�Xu�A�����5!��\�gJ��
�OuN���S�����b�wS����3l���v�V�0��� �9���
��
��>�2#+�"�4E��Y�Q�\�}�xg
O�|�dQ��"�4�t�Z�z.�%�L�������h�E�{�8�R
��5!0}��~~���!c%�
4��2�H�n �+"��h����v�q����`�Q%&����`
���_\�5ME���9!���D
�J!�5���J
x�Z�g�����Qx+�VM�9%��`u�D��0S�GeTIo�K���W��i6.�%�|��rZ~��A������
Qv�&%�����OJV����Q2 `��G�)���T�
ej1�������)����c��:A�n�L2�x������������=|��%�\�� ��P��������h�ly�fe���*�#�e�c����t�����c���������|����W%h9�*_-���r����rZ�
�#� ��GT5.*�$j�&���
��7v
�Z��_��c������,�v>(��-��j�XR]���[�j;3����*A��L!�y7\
P�N�%
W�<��n���9J���� �q����� ��{v���
+#��"�
�@!U�n�����ki�����g��M��\�D
���c�&����m��G2�b2����*@+���!AcQa����Dy�sr"{���j���<eiO�U; �H/�s�ctZDM�\���}��x���x������Mh0�Q��9�yQ%��
�zLp6(��I�2YT�qE�I�f-�{��m90���J'���B�M���YW����T����U�
�����8���&+�e��������}�K���Lg�p�����/��T3ICbU�I����z�Fy�Kf�� C� a���� �o7����� ��
�4
������������,�(M!�c���x��r��UKIm���
�Y>��cI��^�r�����x�>�� �����g
�{���]���������������J{�>?�����d�����u���
(Y��%�����Z��m��*����K
dR
�K%�0���T�z����������j.
�3+�
�?���B������)��
~�9�Ke �
������)�o�����
P���<��2
-�k{
���������yU���Ey����Deb�� �E���s���i�_�����'�t
��|)NR���1'�
������k*,
*X����;�{�K��L\>�5{��\{'�T�\�T��<����]�hRu$���y�
���2n���d#�d[�
�
����Db���|B;M^R3���&S@�s�v���
�s��Z]Q�o7)�yV�����
�=��@�~�hO�Ju(� F��V��D/��/�H����J2H���/N��bG���(���\Q����*����������b��K����X�-����yG��8�����|W|��=��c�
��K�s�
��:��(�"�E�hFh;���D��7��Z�l�UDt�����.��t!m��|��]/��@o�����������3�:�zR�R�:[�]�������z"�0b�[?V���I��P�����%,=�0#���e'I
�������c$�'Wz� Bu!����Y���a��Zz�I {�G8Jz�{r�ZK`��a����Ve&�^��.���H��p�$���
����
A������j
+��'Tiv�^��=��S�2|�g8(<!������pY[X���'�� UPSg(�k�..��ye�����y;���Q�L������+Q�������������q���v����������o��&7�%W>m�QaS�d&{/85i�����
����
7������-*ZW�Z��
�D
�Y�{�������L�R�xH`m����k&�
x��-��\j����Pz6E�a+=`X
`m�<Mii���Q���Kx������<0���f�n�~e�(H��B���
��r4��]j���i]��{�r��P ��+8@��j�.�s
R(�_������|�j`���A����nH��1ip���Cp���M��/���t�D�l5�s��
t^�+��c�s
�Ak����*����T��"�`5�����*�P�D�LJ�����W+/*~B�{T�:
��p�����[
������S�V��\Zh[k����PM��,���Ie=�X�k�Dq� W����)�6pN J��F����
k�u9������Wx�r��!�'����E}����"2���z���A��*K�����}�
�b$
�|�*��Jz�f��l��o���~S�O�;�Y2����+">�FGB�p���q/��G5��� O��,�=�o�h�����h�Dl>��SguN�.�[t�Sz6�==�V1�7#������z5F.��
�#`+n=�I0��D�?�G�O��p� ��a�����`+E��������8`���'���_�v
�t���&J�[-}����J�T�*u�w��/n�'28Zq6m�������<6\U@���x
�*��o����:�K.����s��-}�OzEM0$�T�?��6�=��������������&M$�g)��������� M%f�*]��R3�+I���@�7����MT9�
����4dU;qS��f;T�1+?�5|^�&h�e�z�\��w�.�5;x�n1�"��(eH��Kl�P=A���f/��Z�*�<����NI��)��?��7?�nI�
��k;T=^�
(!!��\t���J(�z��u6�56)��t��P�:���7���_T�V"Y%}
�
�<N�t���#�( ������D�Z��o��W�
���p�V9x�h�uVE�t��\����m&���4a�e��m��t�_AsbP����`W��1�,����Re��2"�7i��p"�����!�v>r��pw��K�q�$��
/�D��N.���9�U:�d��(}�Q)�>��-��J�M���W
�r�H�xUp%�p����$]
hd+�[�L������d_
D�����d���������k�����;Q�� `U�*G���+�h��>8������u��~ ���n�b��oD�Y�Q����]���\'��?���y�-H5��H
�]Bi
e��V��_��5t}��y;��>G�I�T�+uY���r�R��g�%m�
�}�3R���{�V�5��R4�|8�
A�e� ���x9�D�~�U(��k��Nqo������x��fQ_#,���ge"E�����3�m�1������M����L�QE)L$�r�U�uELn�"�g��57���h���&���H ����g��trb8� 5����_Q�9���Y^���4
�?��1��_�
������
���
@�E
�a��_W<.!X�Sd�.Hte��L�zU'S���=yyn���g��>����U���������
�s�) B=f����ep�O����t��U�p�
}Z�#�|@�MVY��F=����+<b����Ku@vY��z!��%�5({k�������a8<�L
��q���"�]9�C�=�&
S�j��(J&�l W��:�S�9txQ�K�=eU�tI�R�Y�v���}�A4YZ
:��;���i���Y����K97i��k�%�4��9t��y���FaFp����H��m�k��
J���:���Qo���:
���eU��5�Y�� ���K��QX3e���D���eK�S�d����� �=
��&���E9B����B�6�bT����P2oH�v��C��~Q=�n�������N<
�l$6�E�Y�AM1,D��������hR�
��u:I��-c_iR��
\�8~F=�n�P��I��=�Q���83�� ������[OQ������r�����|�|�p%>��bR<�������������r
���g�Lj�����4�lQ�) ����S��
��,
���e'�K����;�4�x2G��:S�
��qo���������������Fm4�C�E���L
�7��NE�H����}T��<.�$�7��6r�����@<N�i��+���P���@��/�/�����?q���SG��H���R�k��\�����������T�"t��WI�ap�T
2�}%6�(�m$���� �%~&r�hOkg1��!
1�Xy��
����e���l�5:��\���UV��
D�f��m]"8��4O
NiH����$xi��cX��r�M��i��h��*���st������7jC~d����v~��cT����U&DX1��
C��<�o^& V#g�BU�������$
���bC��4����R7p" � =��#N5oIo�� s���J������� )zf�q�n�����B��
x#%��I
��F��6�dj���(M3��tU�6�_��WS���B���xL�/�
��b<��y�g���O��$u�0n�S}EF�����v
�`��Aj�S�M�@�N7����m�PI��c��u�U�[3��8AoQ��2
�*�����[��`�
x����Q������u�/|r���b#G�:E��Tv�&��T�������W�������R��Eq4������
��G��(6�,
����W��+L��C������-����JK��\�"�
�zb4
���1�����#��
R�����+I~��0���VT��S��%�[�@�\�NQJy:��z�AVH�����������Jg~��
���&+�wk0� ���Z���h�W�
�����
����&�^n�h��S
�2�����c�
W����~�����
H}M�����r���V
��U�fq�N����n���3�>�&����������-<��:��M�����c���]�I�=+��,Vg�t���u�&u��H��#n#����&!��=�/}����l'T����
z!����J�z.�Y�z��a��U��z������&�$[Z�h��f�}W���!]���S4w^�\'�\IvU�n����,��O@.��HzC�F~tb����t��R]�����cE�|\H��.�����A��._�z4�I�
���H��@Q<}�g�"��z�Dsn���\�����g�L�d�hu��R�C|
.�1��t)v���/hF����5��`�+F||k��>��
�9�����A�u����@b1�
9w"n��Q�T��$�F,*~.�����I�t`B���Y��������[Vd�_�B�b�W��iS8$
�}3S��P�. 1~
)��������x�S=T9%���Vo9K���.]�����+�������V����sx� �iD[�r��vw��������9�}�-G�Z��\;_���������:L�:.�%��@5��k>vG`�2z].��QlX
3w��l���
r�bI4�����{���I�h^pYH��v���e��N���|�>�z��Qo-��>b`)�*���%���!��("lM� =��/��o�
}]�9*�������2���v�;&�W���;dv��� D��������[�:�:���6�S5��5�T���'��+��VB1���
��&+��E����\A�������e��Lu�W�ne@���s��Lm�lPG
=�9q`�9
A��:���3��nOS�S�5��J�8�~�r�AJ[�����V
��&�$m�������Mz��
0�Ki��>���JH�C��]3���Y��u�p� ����z��I��G�b�ny�1w~�@�B�/�hq���>��
�����c,
mr���i��� m���
x�[_Z���WOv*Y���o�������SM�
}�Z
A����^������
?�:NWI�[*�@����C�
e��1��~��or��T!D{��:���5�C�����3Q�U�B��;$%��i
F�ES���a�r\�M�b�����w����M�����twQ}$
�x�����u]��b
I(K�����{�KQ
JD�u�M��a�
�+7��
� vur�� a�O��tMirQC��x�'����O��~J*fk���O�'��~?� �'@|��)��F
J�����E����-Ja�����iN;M�ol��%�%�3%C����r[��R;"t
zm���C������!��6?��i���������V���H�*��`������
�KEdU
h�7u����p�o���P�
u
���V Q)��4��-Z�fu����X:����b}�����.;�1���.Dr�-���P����S\���F`�l���
;
I��E��n���d��#<%��Gn�����[.|+�L��t@H
�S46���i�`b@9�
�Iy��L��r�o��@�oyB��`�J��?�j��ox� S�
��U��>�-9
F�m�*�������Sf��3��
WU��P^��({ksR,�{�Ku/�l�V��
]����$���E|&tZ`�G�
�6_����8����6����][�;�%6��,* ���$�v��F���V��i��
���m�����@!$����<���qS���
k\��M,~�X�
�V����z�+��9^5��.j�4��u�(�T��q;�.�Q�eJ�s_A���z�w���>e�T.#u�
U�Cy<,*IN5��e����u��
>�q�_m^�:�_�:
z�8!k���� ������B����z�d�n.0�V�=��p9���fK�p.�r�
*k"��P��(��j�����ec�^e�M&�����y@n���b{��
���/�]84��S�vY�
�6K����,���j��S�tw.�kN�4��T��[J�oiEeN�/2�H5O��L�*g^���q���|��=cI8Z*����%�4�������$�%���R�����\��
���v<��@�?�$�H���y(��A[�Wu�b���CN�WX��b+v(
�F��a�[�I�d�5�T��������r��r�l������1
�n9��1-���<���������do:�oT����h�X2T��Z��J�/��UF��U5pw�I28
D.���*��� �Q��X��s�>��z&�7EU�"�{� ;�
����*�]��;�Vgj�E2N���dFO�&7}���1v��
A�N��D�^���� �2���t�dPu�f`��*�_)�D�[�R�����1N����;��P������P�D�
���j��~�������K��F~���[��Q�u(.����� ����mz�:�i'�efr;��=�G�]�fs �'5���N�N#��^�o������C]>�����R
�SCm���.R����$q>���V�K.nr}DQc
�>�����;����Q;,�2��QSW���t�����n�������gpg�)�n����������&^��H�>r����
���m��>+�G�rg�2��!�_�$�C����bu��B��p4���y����4#���{�^��u$����w�O=�
a�o�`r���E�4�G@zfR��
>'i���F�
h �����}���$u��sM�w���V #�I��q���<Q����
����_]z_�i^�>�M')
gLSGKgA
�#�:9����\.���&�E/�Y8�'����,�iMa
��-1��OG��=8�s[ELU�9�������
W��-���D'����o�k�&��
r���Qi�����QP*�]���!
�$L�|$�*Z�^W��1��r�.����P��_�����%�Uj��S�$�H�y�L*[,������K�t.����Qx��`I �*?��F�Q�(�U-
G�P��s���dM��:p��N.9�g���:��o�9���%��QfF]��8��2���[��
\���v�M��li��W#8�/.�k���?��)�
�xL����"I�O\�������/��4D}1�B����Z��; ����jG�81D�O��{��C�
�i��mPo��$T$`
�C�Q���J�v��)����t �sC�j���M��W������^]��*��?�K]����k)���:u�b�?^E�S��<��:����
5��T7i�s�u.�G-�_#�GCE
9�����IS��P55���9O�.���B oG�(���W��9�1���)��jd��9"V\[��3_��n��yU{�('S�K�kD���>r��j�TG�v�u?|SE�|v��G_E
�������RR ��E�-n������&�������#�����.��E�0m/.��{����=������{|���:�$��)���p�8�o �������n�S��n
�`�r�J:��mG.�?�*w�������Y�A�e��u�F[��d����HJA�'�2xw�e�F4k����������
G
:/�W�,
\
���� !�%*_����� ��Urp��|�[o��
��<���$o�NV�W$���������R�Z�V�H�'��w��51/i�.U�9�
|I�g���-?����
mn����g=���.�P���*�
72��Cu��PA��D #
���O�z���x��3tZr�����,�M�Q=��Qq��L%��v�\�����I(�$L
���W�o��d�����&7K�1e`\�����a�E����������9� ��{s=�����(%#��'t���]Zf�AT�u1��G=;
�%Uz����&T$��&�&2��&������Qb
~��R���bX<��B�`��[�.��b*6J�#Y���\�&���25J��Kz��S^�
�*���
�$��6��
��1��J�N�z]K�XD*�n R
���r������$ k�G�6�����ub�����=�:MWdEt�+2.��_�.u���v��������=�v`����F��%��n���
U*�e��]�|io�����t�6�\���r��R�H����>_����-�1�Jf-���c�U�����KFd���Vuu�(���������\��� ��������
+I)k�
�SN��W:,�
4I������p�An��{E_}C�IQ��x<�y���@SV��\$�hP�6�Z��+*,KFgs��-:>��J�n�
M�8��NB�
�
_��h���0%�e�� �`�
� �
o�sT�x�������T(m���<�Z���'�����{z��r���6h����e�"����j��=q���yH�_]����o�FGf�. ��}�&*���y*�����i�Z������S���+U�u��u;��IF�
Px/����sq�BL�v�j
���Q�1
~t���W�|+l���
��i��Y
��%�F,������#N�<��v
�h�
���e��PR.��GL�(y��:@m�G}��G�Pb7����Di���
(1TB�=X4L{lT*�
���Z�H'&)�zI�%j�:H������5�������D������������4
(�
�R�<�%E
�u�.�{
��0\��oo�=������%��wFq��+�e �+
����B���J���m�(�xxv���� n�m�������`'_
�n<XQ�C.7j�6��Wy_�
�����uX��Y)jF
��G��4g'&o��T����R��DCo`���!Y��SeF}x�?J�� cT�rSr�����T@�:�0���G����8l�?7/�N���(�P�
��*
�)�xr���X��6Uu/�zQ�hV!7���=F>,#*X�����P��F���JN���
�S���M����~5A%�\<�H�1��J�O�{�R��\l��Tu�N��v5�����w��
��8�g����$������Y^���U��
^���j�>I��� ��j{���!���
���p�Wm��� ��;�N5
���Q���[c��N\D0N���GU���������Ry���M�K;M9���yUn�i��%2R��@�V��R�����)����h�6}��j�
?�[-�[�[;\.w�$
_N�e
D�D`�yZ�<��U�28�&0O��
n���Dq)����T�������P�q]�rZ�
*��~"NiWN����)��y�sF�gI�����<�N<g=�.|�y���;��
�qu<TK�&zx� �`�0�.�n��zH��[iuycG��{ l�*u���5���u��]{�bx�!IU���rV��q��,�3nY����2���G�AI��#?�G\dR������)�r�Q1C�"'X
���%��]T�x�7(;g#�T�D��R��+s��vt%
��:s�����I��R4����u
��d
y��E�%�R!���k>2:�
�IB*�� �:�@����T�
����"jV*��DU��q����~�nW�]}C����f�7��n�XgQq�2����f��IRgjJ��Wp��X��^hw�
X�]`=j$������c�ou������PkqT5qk5.��*�������)��D2^�9
�����Vz��u_�
(�P8�-j��2#���I���#(
���Y[������GR�Ziz�l���2���Kn��:��_�5y�)���nP<����N�o�2��M6U���DQ���?o�A�J�`'+R�\z&�!�
mZ�R�eG�-Z,nu�����%�rY
��/�Q���$��?G�q�r�}�������
�2�:P�^�U(P����������]��c-�}�
(�~x0{���#�Q������s�m\,�
��U0��Qs��i%`�n�<+�c�1V{=|��������5�2wJ�U�p�� hp���#5��!�P-�O���U��!�P�������&���C��t����u�;��U�C���Dq�l�����|�!�*���
-�������-�Y*�z�4��
��r�I/F�=o~�c������@]�+���Ol���1&AB'a ��T
���zR����\dU�o�X����e�G ���j�^m���_�:�+uG)5��#�<�1=`�.*����G���)%��
�v�f�T�=EP�h>�����W�����������VAm�
NC?��r��� ���2��jTW� S)�f�t���?�h2��(A%�������Zs����
��T�;r�� �E��dF�V/�?��+{@��b�-i��D9� �`�r�Ut��U�k�$��r�x�*Y����j�����#�b_ 1H�A��k�G6��L���=s)��Y8��.���z�&����CU��DI����s<i������'��vr�n���\s�z��|Mqwp�.�s���<�m�DmY*n��)����q ���}T�������P��p`��sE��i'�1�L�<���j�\���:�fM`���n�.5^��B�]�v�a�7�����BQd���U��y?<2��� IV�+y�o�(g�"�A���"�kd��������E�w�I���p��&��y^�qO��5�
�
�
�`8�d/��\z �#5�"�2i!
eP�#J>3�����Eu��
�b����W�qhw�����E��q��g�
���/
����F��k�D�EiL�ZE�+������:|R�tytr�u}���J�yh��*�2�7g �t����U%� 0�.���e��;,P����
g�|�[
��(�h�Lme
�r{���S��nzUO��'� ��.����2��n��������H�m.��}���N&�� �$����s�����Sy�0�8���cHi��9����T�//���3:�����U&���t%� � p�
�O��*����{���d;�i�����*��'����G�c�g�M�~
��
Q]y��<�'b)����#� �:.��
�C��%?��`O��E�Q���8���_�a���
���������=���������j�7�[�l�����T"�Un�����*-������(��QI�S�R�A�
iI�A �/��>�n��k�=���
�^�:x\��W��[fKB��1~"�h*�4�YI�2�2�*$���B�nY*Gg�k��( ����R����|�� h������������E^�q�O�
!��BE���I�T*c 1YJu���
w
�M���d���#�����(��YD� ����}P�[�����:�C������/���]�jx4�_
�S�z����,
}�/�Fnu�V U��X��u��D4+�����*��B wZu}�OS�E�"e��q��O�r~
��o�y
���6p�������U��m�_� f��8��Q�<�����o��f�gw$=�u>��>H�"f(�-���n9�4�P]�S�BpU���mp+|J���C��t�;��q�!���5�z����z�������> �B���
{�;��D�iw[���4�������
u8[9�p������,?
;���6��K�
��������W�a�����G
�o��P[����6�~8�+*�T1����@��f��iT��2Lw���T�����jT�rm�k�J�$�
�/
p/%���T
~���F�\.'��i���i��D���&������Kh���������
]����w�^�)7�n��)& ]�t�����;�A����� '@;�)^��$����s90_ &����V@��&"�\5���]"��c,'e������mNw�J�(4 ����x*c$��n��
�t�&���������k�D�~;Q�XvI!�Z�c
���<8qk_Q
��}��D��T���x7��~�wXC���H�U����?x�JIZ�j�+�-�o��J�
�
���`s)&|�
�
-���*��\��59,K�M����TK����<@i�\�K}-�@V����O��O�-
:���:%�3��
��U�Dd��=w}�u(��
o�S�'r vrS��(�pj&�k�
j��?��.�ln{t�V8*o��S���P��>�
���Y'�GK�����|���/�R,_�!��t���I��j4��
�6�"���S��o�� V���*3��������m��%>;�2w*�m7Y����<j��V
��!������`E�P?����!�P�
'&g����e�5g�H:�zPGs������ ��C�����o�T�j]��������t��r��9*��%���
��'���W� P#�E.����(dp��m�!�%
��p?��be2�$�0��������d�na�r!���z�o�kKw����$|�R�{��'g�������G�m�S���m���`]�T��
���@"EB1,y����KC�Z�y0O�T����C�CY����4u/1~��K��i��5mn�r��>�}�8����P�$Y�����v�<�� �?^���ZI,��bSKGP�9�c��<�EPKV�~�
�vY�����+�<�'V?��Z�M���)CA�W6���G�"��� �
�I
������#����rz�N�Z�&i��G����T�=�1��:(�Bu9����K>�v��xT��Ta�����zT����P��Q�Y�H�?���t.xR�&�����������$bT�� ��Gw\��*�
�v(c���� ��PCg�z�6{��`�?f��
?�cg���%�"g��R��F��J�._�/U��z�]\�����~
?���~"?�����W`���#�x���D~�?�Od�3:����DT�68�$�S��0��VJ2�?%�
�TWF?�jelH9L�e�P�oQ�K������U��94�����C{<����
���Ks��J�>'~�R$-k������1��S��tI8[�3��=���cy��o��F�^��T'/G�xm�#�����~+��lE�xG�8�{RB�
x������:����gB�M(�"�e7�:�t�"���3V;������d[.%)����%v�;�!\��W �H���$�d)�M2q�������� ���=���yF�*YQ�}
���R��m{)�����D+2�VO�9�v�ptz)��� �� ( ���G��
P�=J�,���+G�3ele��/-�������@R�F�������%��z�i�z���G��4u^��B�����m�0w)V_�k����gE�K�j!�T�����F��]
5���0P�SM;�����������i[�`C2�r���
c����@D���T����iX���_\��������� [k�B}����4��
w�8�ba�"1U��-A�RA�/��]����5 ���R���<M�>Z�\�h�e�b�������H�� E?J�_J��/
uUxN`?�Y�����t�qi����N
�4�
�h���(!�muE�� �,�"�����>�������G�j����>
N�{V'!
�)/�c��
���U�����[�O5iTv��'��y�.$�v��=�c�L$��e�a7?%=Y-m������
���oUJ��9UkxG�b�M��
;H14�:Q��
�
�$�+=��-|����������I3�i�������<4~�E�J��a�NZ[8=�Y������Hf.��N�
���
7%�����}��������
|m��C�zxC�}gi
O���~�Z���
`��s��������� SMh�^���4�P�P]���# _"�{�
d��|x<�G�*s
.*�u���y������Z2�>��Bh��� 4*�i�|�����-���v����?TB�h�@�������*�%�J �y�Z��}v�A��
����� �i��FG�$0��U
8�k�,�Kd�H#R�����c������2�v���.���6�y��D�d�,g�V:�u|�;`��C����Z��t�g����rTO������km���������Y�
�������R���-@7 7. �.
���X�V��(Df e������!��G��$(r-6���7��S��[�����$iz���%�\6��%*��{�*D}��>�?�L�l�0�J��e(�����"I �n
~�8�����N�d5��lF;~/ ��<���=�Eb��H�
Y�����%>�F8���LHqI2������+
_q���r��CRI��\�"x������WW����H�.�6��J�zY���F��0Q
Y�!\��y7���*���T�M�]]�/�F��lpn4���Q�
�F��2�������G���R;
s������x>
/.�������%���]�^n
J������W~�;A������_�%�n��;�
�#��=�k��;�A���u��
,p( �Bxj���.�U��nJk
Gd)��F���#��]
j""r:��n���7g�Y�
&lp�� `<=]��<C��uAJ:�
`���\�n���L�$9�
k����!����|��x�*�5�+~:�u�0�3�T$���
���/T�����/�o���$m��uo��'�����L��U�w)�*�v�����
����F��r��5�qi~�\��NY�4����� ��5e�9�����
�����g
�
�$� 5
oU}r�����d��
F�5y]�������?vb�����z
�)�+��~W�o�U��kR&��\�B8�V����D7I{��E��m�Hbr�H������Z�n��4�E���&��=xS�,Y��C��:���N4��+� p�8��]�,I�D��^8. M�rwjS���j��t,�8�`_��
��.��@�Er��'��|L�+������
l>�kU��*%�����\a�u��ck�x/�j�
)+�� ���:�<$U��U��$�
-��;]@����4���e
������9�T�1���&� �E��C�mJ\����g%�8�9=nI?G�o6i��-�M(7ec��������H/��:���U��J���%L����b���n���
T�<��_��xt/���9�}[���
7-u��Ez�'����*��
p|�B.T�������J��p����E�Q�u��.�~��B���!(������u8c���rZ����uP����'��"��&)����A����������
$����
(�B ��q$e�������K(
Y�^����
Zal�6�
�B�h�q'xA1
r���:}!�IA�� �U��k��(����/��; �E)*��G!5UU��
+�
��������jm��0'e���&1�����T��3����{��Wm���:O�����������-�iO����2�lg�@%r�:u�Z6K}\����6�|W�<��|e�f]V��+���W���:����q1D
�
]� e��
�gb�:z�����;m��>/wC�''��m����_���u\V��8�����^5��
�$7�����;]�������G��8�RH��<���T��������4M��>/��2�k���B���GQ.E,nud�k��YE�=]f��Rq<��zV���%*c�4D.��U�(�������j��
A\w?k��T��jQ�l��.w�I�:�5�}�V<Z��d���4Z�N���6{:�
�=�*J����.����� �d�����t�$�K���k��Jk��3/� ��Fs/_���y��r���bZ��^
�:����&���M"����FhdO��E�yy�
^�U�I���U�Q�
���(�`K�x�#n��,�������Lq$����s��� ��W��p�z���l�{{��n�GW`�
��� �U��\jw���_])K��w{�M-
���f?.m�V�Q
�P�&���h%VeO�{9�ES,NC��W
0���5�v��B#��F�8�K\(�.T����K]�sg\47��T���HD�{V��R��uw[rr��W�~S>�Iv�,7�y�ow� �����
k�h�B��@���K�CZF���ZVt��_��Ck�����48���;�L�\`q������n>]������VIN�c�{�Jc����`���U�>�E�X�' �'AV,Q�C���j���9�+�~�T8�ZW��#f�A$m(�{������qa\���n��� g�`<��c��V�+A��-�MZ�����H�!�k��*�}&��
���� �IE�����"��b7���z��%����r���Bl������^��^���aiN
��]�u�eL����Jo��5���!�L�?��/1,�����r������^�N��l�����V������!�*� Q��4{����wy]������K��5�r%�G����[�5S5�L-����H�#�~�LZ
�ey�SmG����G<���+x������
���t�g���+�=�{}�h��h�bO�k���xm;��Ij=��\`�g��������NQ�H5dr�������@��t
vc@��YXi:���d� �$1����}Fa��b<sH���mI��Y�MB��8J�M�.�x��;����
���_Q]!����k�
�aZ�>�J�|l5i�3�=�UU� �8������
������"SAT���Z@�\��v�*R�S;u�@�_�r�5:E4J|��28�Pb)x�B�LPa)B�p�n�Gd}&��|
<�#���N<^
������?�t����s^�:�:��$�n�R<i�sb��}BJFp�
,�E��E�7���p��
U'�Q�m�T�jJy~�-��'">4H��6����v�
S76�%��j&�S�����2u��yAK�$'�nrV��W3(�^�R��h�b��;�~�2��i$���i�iU�O%k���{m=4HU���9g��Yg��~���Z5�M�H@��4��J���j���r������D�����D���l�3�@�;T�w�P�t���2�(�$&����[wY
�X�:A����T��>����3���u��G?���Q49T
w�����
Ym$Y�����>�`3j4���Ng.�E�
�����t��v�����9b�}
�i����{��)q�����.P�*���rW{^�
�xE���}�
�6��}����1*��P�KQ,(
I����4l-^W�"w��z���������s����
R~��u�P��"�:��t���� P&���xO�V��1���� +g�-���P�YW�q���9��*��d%b�� B�y63�����
��G�� ` ye�MHZn��@0��v��r�������JU��A��L�z��/����S�:��
Q;������r��0�Jj�6��� ��nW��9�!�'��M����*H��
�{��'���*d�5E�] <����[Yz
�T��,������������7� �[�T�Y7��U��!u*9([s���QO�8Dyk5���o�a�K�X"^p6�����%��j�������(�v���
�n�&������L�H��
}+a N!x]��q-�yl�o�p������[}�A�r������ ��,��h�����xjR���Q�'gc�<%��
�F�q�9�����1I(��q
T�Y,3���r���pP%IJ| J�k|�9�e����N��<��������(�
���]Z��V��QiHIX]m��O���������'�SU7������M�pO��@�9�2 ���
�P���t)�-�
���u���~+6�@�c��R�_����]]w��;b%�6��]�{��
z����;���NfP�=�"t����;e�[�hGb�z�hE���@�w�����k|�Cq���r�B�pr9T����Q3�,�.���2�W�-Y��d�BYf��b��+�qOEOon�+ki
=�}��2�54��_pw�X��+{D����O�ZdI�
�[�hb���(�T�A��g����\
��,�������R.�<A9��9��/�� �:�+o���
����u���>��p�}A5jO��h
?5�C�&��B�y��eo>�5h|a� X�(��T?��^�C���_
7��ki�.vX�
R�����n�X�>]e�+;���M2?(��
��PR����B
��o�5Jp'AF�F �G�����ES��
b���8�n��Dn\�d,���,yXQi�������lt��s��/����J��������q��>}t.���}B��?�o�3��j�2��+BD�r�
�M�������j:�5�a��JV��*N�j�9mj*������5��D�[K��\
/�V�������^Z����mZh'�ln��K���R���
�v�Bq��R�*�e�flE�/)��]_��]�NN_%N��NT'�
��`��� IQ������)��S/���rN��
�v����
];=a�;I. ���9G��e��z�S�:%$fxbZU�j�����vhb����ta��
��qD2������6m7h�u�S�rz���q�[�1�Q���tOE?��n����������:&a?�.�tMw {9��(*����I,r{���l�)�&6��7��|/
�v�>my�+��>�
F��<B�C�p�^�$�oe���k��`� g�����:J������������f�����j?Z:����TQ����f���
�/S���9W���J�O��7�2CQ}q5�c[���H���Jx�k��Y���*4%��=_�p|
��Y'�Z��n�e�����$����>��Z�_���IVa����^U��!e`�<��h�5�����O*r��
4�����TH\e
�~.]��\-[@�Zy(�{W+rW���a�x �i���\Aw�@i ����
����_�G����pQ
�yp�9��J���EF*�vu��Z
�c�t��k�r��% FU�������Q
�u)}�<*��c
��7��fLU������y���V{����
�:U�sx�
=f���PX�A1l�w���s��bp<2���4�_�����y��V����f�s4��P����H�r��0������E��\]����IA���%O�
w�(����x��0����{Il����&�"����+���nynWWd;h�F��%)<
<;����e[��x��S(�����z��J� r���T��X?�����z
���QK�����S�A��W8�
%�
�:��]R)
')Y/���m��dc�{�E�}.wi�hFEg���y�-�����ni���YvN�������d.��Q�[�35k
#:��7� a1���z�B�jZg���z��|����m���r{����
�
( ������NZ>"J4�~H�Yb���d�(�<<
]`8zVJ
sI�������|;���
3�t)"�J�@b?�O�RZW7�!"����,}
�[���@����S�4'��(�Q4�Iu"�ar��JQ��
�Y�����7~<T��@�����
R�w�:N���V7��
e]'��l����*�:�8�"�^���:J�-~m�L���s|��r��=���Z�n��/�����{��i��
���Pj�!
�64�Z���J�J������[�%�H�3d�
���R��rh8y]=P�
��P�R���J�s���;PJs�\=��/�h���,�z�1"v= �%!@�G�i�s��'&R��������\M�4h9��Bi�W����
�p�����zv��u�C�����/�����*�Z��
�>��e7�
H�����t��X�Q�|6����@@�UE���\���"Wf��_m��YYYv; ���
:��c�ER6�z�j����Yi�p)���`�}V����8��;sAL�*������ '��2��'�J
�3(��Ng����uN��u�&�����@�|�����BM����4$l���0��*_P�njoPv9
,�/��� k��)q��N�/vu�\yt����V��� ����)���8!hr�������m�Z;�0���#]���2���a�6�G������h�*��o��f-U��E���X����y�K���N-�x�`��T�m�A�R�Q���������NQ��2X5��Vn�V��-u�m|��u��r
�cRoG����~4�Z)��l��
UY�g#��4����E�h ���t�I��B_�'�H�2�
����.�3^��o������t�|��M�[�E�.e��o_e.��U
#����s��\��
:���<�U�L�8E��v��(P^%i����������%
D4�X:_N����u?Hd
�`qTq��
GX3�@i/{\=���*������
n x��v��_�=�H�g���n`�V����������X�/�:qf�d�� "A�����]�D��i��oE����T���tM���T�+S�����rU?��tS����XT9�#s!�
h�~7��������������l��z�����n ]�c�+~����?������� ��?�(�{~��n �>}|�O�����~7�����O����~��O��������O�2�%@�g���������_�_�������9~��O��?�����O������� �_���?���^ �?��?�����A�w����� ||����/�����o~���]�� ��_����������o~��?��_�����?���������a����= ����:�����7?_?�G����_�#�w^��/��?=�����_|��/��������������/������� >}�g��?�_r�7?��������w��o�7�7��������o��~�G��� ��_������{�������G���}3�S?�����?����������?�/�'�o��/���?}����'����?���������'��=�j��^����@��?��������k ����O�?�?v���?���}���� ��?�����o�N���������������_��o>����O���?����O���_||�O?���<�7?��?�W?��u������k���X�����
���\���B~��{�������X~�K������/�'~����?������_�=���~��w�i}{�����_�}�����_����_���O!�|�
������� ���_����I������W��#��'�+��9�"����o~�����_}<v�����r���������/��_�O�����������o�����;l~�7�=�������������k���������?|��||�� o?���7� ��[��0�����O��O���?��,�� ~��W
?���������_~��_���o?>��n��A�B$��?�����?�?���?���o���~f\�D|���~�k� ��������~������/?}C���~����W?������3���/��������?^�y���W?���_y��W���?�;�O(�d��t������������
�;����W�%���������7�������������W�������w������� _e���?; ryn���������+��w����o����i
�����k?!���w���
��O�w����o��w����������=���������O�E
��<���}~�
�o~��/�?������g��M�����c�=����ILn �{��9� oe�o������BN�!���_�����/x����
����$I������'/�'�����C����O�|�?�����|�
����7���_����?]�� g[������W��o���yY�J��[E���=�xc�g���a8������c��;�K�d����~��������7���W?�����(��
��?�b?�d�s������� C*��_����L� ����������o�O?�)��
�o"���&2�Sr��x�I�L!�FQ/1���
���
1����[$�X/h< $G�L��X�3�|l���
���h�����kQ�J}�G��3��YY�=���������P��HQ�]e(V�S��cU%��������E�_���3?5U��UI��0����m��S���L=�����B����d����ZF�
���X<9��o��������.�Cj��
w�cR���,}F�X*�)>������C��KV3��n1U�dY2���c�>Ij�������C�TNk�D�g��w�x��a����(U3�X~�v���NN���
Rq�����e�����I�Y$?*[f��usX�~X���B
���dj���t�
�]A�����P[��Z�����n{o[�.m���U�`����
gTa�s
�Z�~ .7�O�{�>�����v�
�@�H��O�|
�!MV������`���*�g�9�hI�/�V�Qn����P�*
�w��[P�M�EJ_��C�I��
�_=o�@����
�>_��1������\�K�z@(�]6Eu s�r���
�WR�L��
��q���:��1�r�-���
5���T�-=Y:��K�(���;��/�������b����2
e�}4q]�PR��C<�?��G������Q9�T�@��������g,n5w
R����u�x� �+_S���D��?����Q�S�.� <����C�8b�����p������9�}K�������W��������+�L���T�w�o�P�vNgdk������&�����^�y:
��ziM����osl�������Yn���9ek=�Q�u=�x�<"���5�UV�Qn��%�'r���{� �*����GoQ�f��>_�+e�W��J2��2-�
G���x���k�/i�4�T=�b^�v\V
��0^�����F��:�)��a�?\���+N@T}��
[?�(�o
����!(���<:FE-�7'����Y=�0��J m|����,&��c���8'�D�!�Ys�Q��W%���"|��d�8�#������e���]��7��|�.�)�&��n��rFT������=l�`�>�~����wg�W]���]~/5�l��W��|>, VT�������&�
�a}��
��w��\��e���;�u���`�p$ns����<������Gg�<~���/o����O�PQ_u���hH(���[L��\��(����vWbH�
�~�h�5�E�+d��k��k����������xo^e�H�7�_�U�HTg������v�;w�����I�5�
�J��n
hZ7�
d�����9��9[��}���tp���
��o�I$��.��j���U�aRg��[����kzP�U������
�s��
���=�CW][_p�-��&�~D�����8yl��GuF�GoQBj���x���c�ZejQ������������g��x�{T�|y�<�t8�A���E��c��D�����onu��1��L.������>���Y?
�i�7N�������������� �I�&lCiU
����F~1~K���z�Y��K�F]K�Z��=+��o�LQ��^��C����*?��`+���������?8]��.�A����\\~���N*vuK���� H}��X�o�����[��-F#u��
Nd�?�j�{'_{���[$+T������I�i���!��_�bP�Gu��5�#��
���&��yA���dmo�������@��>M�����8O�n
�����1���nh�����7qI!
��~���e��im�*e�Q��p � �zg�s���S��T\E�4�xI���)�_�Zs�x���w��v��S<��Q|�
,�r���%�U)����R�|�x�$�q��@q3��t�%�)���6��=����ypa�3u4��Z��M?z�M-G��o����-eR�p�Xs���������%/���C3A�mF��� :\��5����L��U�q<@W��*����\�����M�����/�n�Ii�% \��T����bdx�"��m�^�R]�6��MMF����$]a�#�e���ryi�K����X)� �A=."v
�j���
��������S����[����R,��A�D%��6�(�~�/�3;]H�
,�����%���m^�
v@6]�����^�� �E��4��|����(
���\�v� ($���th���[l�G�_�&�t\D>%�����hSY�5v@�<V��U�
�2�+^;}u�zL:mk�{���MUJ5Z$���e�
���DB���U��f����������Rs?��q<�rRS�"m`3!��MO�������!@�d/u~{Ny���54����;F5&��
nJ����{
q�#A\�F<���t;�'
��6�3����HD���D�D}M�~
A'��akL�d?��ED��
����H-N�Rb�
�!j�Nki������<f�Klg��-���"`<F�Z�9���U"Q$x��a�_
��W�mQ��\�����,�b�|X��f�L�� ��+��f�Z����t����G~�D��<�S�g���� ��^�q�
����i
�|�:�E_��l�����s��;�����Q>�2�D��\w�%+��H� ���^.
e~�^��-
�$\khq�F�8J<�
%�Q�j�����Q�i0��H��CP&O�x����+a���.KZZ��L��>
R�;���\�@j9}sm��
>�G���P�+�%X���U�#�e
9������U�!8��]����~P5ui�p��[&-����g
PO�
�
������J~h���)�����9�:
F���#\�T�Q
}����&�(Q����h�w��/�o� 5�����I��I�#������Z�|F�R���g�"���`*�uH�i�Y����[�z"�<4b�a\�P1��8�>gq&����b������F�}]M%Xl���
4�eH�����`�����
5o�+�5��(W�rZ
Z�;�.�c��^M*��{����!6x���-����J���1�Z�+�%.�����"U=+��r�~
Z���G����Wv������B(�U�-�����;f�6������������R���e�Q���pVP�����������Cg�l���
�J�nUT��|��'��@s��Gw4W#����;g}}���(@zW������E�,=6�����y��,E����f�5�T�hl �� ��������'��^!�p�������d�RJ�,��
�[���+��n�b����<:[)w�X��Xo��$)
�V"&@���>�������Nm>-ww�M�kE?L�H��@�ZX�i�+W\#�)��dL��z��V��p��p7l��W
7���� ��r 2���R\�UW�)s<��w�8p8E�wrq�
��9�+A��!o�qK�J�!UL=�go�&�M�����9-?t����bS�i�[�\G�N�w�����
�S$D� ����CKM�jp���
��#q���s#�����T���a�S�
=�����c���4E����E]Q�>���F��O�u��N^�M����dW� �
�zJ������?��+�1 ������s���Ud�~db�����6�/M��������f
�^Y)��?S�m���-] �7���w��"
7J*F��� )A �����}��q9/��;��N�o�-K��I�.*�=�c�}����%G�Zs�{��)i�A�N���RD T�&Ai�J����o��;���
��*F�A��j>�z�m���|Z��F����������6���((}4�����7K��%.�k����@�$�$����hB�����eg�O� ����@�H���
��<)Wo�2���/��$0'ph
�����������y��5��Wv���0�
��AZ"&�F�Dz�$�
j�[�z��}�J
�oA��i�Vo��;�D���e
Y6U��Z���WT��h�;]������c)_���jk��6��'>�7K��C�oz�����U�Q���plN� �/ k�_$�@�S ���:��8
m��U���yU*ly���J�)O�xO�>��L�&��[�[*3b�]���U
��*r��?���{��������q �e�+:�#���������~)�����h)���G������! ���{X.>������jO�
�}���
�x���D������*
��e���+ �%��n�����U������eJWA�T�eR�?���5���K/���a�$?�.���|;5���f���b�P)����K]�f�R���>�
�Z�U������2������o;X ��B���#�_~��`]��?r��� ��+�u~����:U��_e{�������gt�C ����w���I
�R�Q��?_g��C���;�X�G"�{+B��v|��i�u��j�z�F���;�~l����|NM������&*K��@
����������O������������c"�g�j��t����PR�N����I��'�0�g���Js/��}��P��
Un��:���|�����*<g�HGO��:D��NF$�-��Dt*�;��@u�~���nD��>��
�M�F��Kd�'%%���H����+Q��[��v��{�A
�
�;�Eq"�t
w����;�����i�B�c|v���<�r�t���"���@��N.
t=�u���f��|W��3<{�k�eL�������
J����(D�A*��X'=�q
�Lw�9�����M��ZH����ruxk!���]����
���}�gq�����&�
Z)4�n��r���#��s��:!''��>�e>��,!{�i��wT�Ki\�)�W��M�G��>xl�Q:Gg�M���^8�m&�w
���#��c��<���&�c Ec�+�N���;���t�!N�`���KS9{�
nB���z��/�A���?�j���v�(��"�%H�YZ;LE�]t���9���U���YiF����vV
��i��D��P�,����������.�����1��_��H81�Q��c�5U�����%��Qw���m�$m��l�`�V��������2~ �ha�r�����;M�5c������K^
i�
U�u2�du
��'�+�a�
/|n��� ���1@
��]����7��8��"Z
��|'>��e�,J��(K����P�:�)��
�-;���(+�-i�#u�I����PxiX0��
�"q�JE�E�
������0�m���<���� ��|4M���am��� �e(�B����X/W�.X��i�B������q
T;�(���U2V��R�7������- }�1��e�3C���S�����-G��@���1�j�m;��c��'%����M
�of�r�;��A���sE�t]��3�[���h�,�GoY E����Q8B�N~���X�-*ij*^�bF�������q�x�p�������:���>�S��x�:� �]Kn���c N�������\W��$X�Kw���|�. -��$�wWp ��W��^t���G�u4)���*V;<�VX�Gy���Ga^�[kB��*ME����=
a.��6YgL����6
A��;��75[�C�K�t3�!�h�hr�s JQ�i��.Q��
8��I��a�� S\p�2(���$0xd���m ,�wa6�v>�K��zK�E!��|�w]�o�I�������us��� ��g�8����K����*�y���O�l��>�W'��:n�
$���[�uN��?4)I��x32!��/
��e3���P|�l��[�]5�vv����3����������Z_�{�
ae�"��Ym���e�z���6��W��U<��G����K�JF�!��p����)#S? _Q�V�j6�*A���T���P��h�K�z����U%��������~.�t�����*gmT��| M�����_���%�����(;
����$
3R�N��'�������c���U� ���
�P}���jE�F�������D@j��rl����>4����A(�wd���i���v������e�������'*��F6Sh��4����^|4�4����$s~�9����[Y���>�F�Ayr�����y�������q 6��� ����q���WCi�2��ef���RZg���)0d���"������AsT�7.�����Z����&�+�'^9�|�y��j9_��
��d[I��5]m�|����
�}5"�K�E�>.��
�
7���\P ��R\]���=?���f�M��D����;&rz�A#:��T�r?HS�n7��t~V�l%����eB�!�m��\�:)���RA�:����S5j����������z$%���:&
�2��T���Xm3���6��*S�K��H@�����c�F��7�8������V�[
�$>r��~�K'V7�o�����~����|�b���M�l|k
�;������p~�R#8BN�(h�U�p��Gq�
�|�J��B�Q�G��z2����� ����X��[F�V��d���l�n�Q���?�m� �zV��x�cHQL4������, �U���]�K.�|)������J�D-�N[��T� +��"Ni
���$+�B���
!0*���:R�<�
U�g�7��z
�]WU-�K��X�������r�W��<���%RQe�if
���pVr*��i�JB�D����D�K�k�:
�#��� ~�W}��
Q����[P�=���RQ�-�
�3��l���NG`��\�^uE�l�q��
�J��D �7_W��� �X���
���R��0�o+W��*��eS�_Ap���X���F���3��q�IK�_�����*:j
jaW�����`Nq '�[��U�K�I7�q8�����NE/I"���q�-�������'�s���*G���C=> C�}�������H?�����z��iS@�����|a����i�T�
N��hIt���0�A�
+�tI��c�/
,egt[�����5���g���)z�e Gz\Y �z����z�0��hr�����@a�J����( ��_F���R�!7�z���r ��s
�pU+�j�>�����
�W��J��jO���V
���0(�6��z~����^�
.���D4��p��&���ezT��,%�}!�8'��\��~�#��)O�X`�[���4B�=(��:��?��O����*r���q;�qHm
�~�\x�/��+
I5W�|muB
��
����B
���o|���h����&��(�
87�M����[Z�fY�����2���W�D�YP0���2���
��=�2��#-�FT��u\�2���<pnG���6����h��
S�?U��cN���
�q�P^a� :�U��q$�K�T���@5�r��>��g��R-����z�F ��K����VEO�� �Jop
��Y��7F�A���d>
�r���r3j_����c�U���J���d�/�IP�91[I��q��(
p�W��
�p�����E�\P<�6 �S3��
�l�9�q^I��G�FU�Tg�#���/�\���
�Nuuy��PF���o-3�S��H�HI� �L�5��d���'�"�h#HiE!n���B��g� ��.��Aj���U��(���p�b�m�����Z��"��5Y��[���)� t�;��1Qv����'P�h������_�~MrY�.
_i
��3L
>'������
[���v��R�s��D
��cO^��U~�6�5]4[����8��*^�PaP
��p��:����
�5��r��t%��k����e�
)�/��Q?�uQ�G�����*� X����C���]����Ud�m(}K��}�����TJ%R��.^����b����J�.��Sd����A���=G����s������Y�
}<
������S&i�]�N��R��@�X�< 1��ja��S�x"#��^;���)������ ���T���a��hZ>
#�����^.�O���W�U���B�DL*.��?4
-8��s���|E���
'��h��
=��P%X�j�-g]���g�M�LY%$+0��V��Q�
��������4�����"JU
# i��gO�#���HU5]�#�
�Dd�H��R��@
�H�9����]7�G��%����l ���������$��!���09Q��JrR_�y{>t�S�^���j&����
�h��v�+�En:a�Rf��+_��?
�/��z�%<������4BT��.�����`��� ��:���/�Q���*��T�-_
_%���$v/��9�_�����U�z�%,m��J� y���(uzp��=��aA�*��/�$2��h2p��� =Z/5r&���=�[5)7�O3��C��"x:K ��U�v�����B��w�K3��*F��ev k�h �j#)%��/���Ei���:ynr�X5*�/
J���X��&4��W���Dsw~����m�����+��iE�i���F�{���a���~�IU�����k'�Qt�#����9b�
<R��r��4��Bv���[�=��6bDBn� ���Y,;�C���|(;��������w��+��
�W���u��c�����nV��o��/��?
��_K���q���E�N(��\��>]U�pjh���1B��!��z�u�����M� WQ�$00V*%4��� ��H�X���{%.'��������B=&FHwZ�����ES>>�82�<L'[�7�["�.Y���:/����97$�F>vC���v�2��������P���f+� �P�@~2�{�`6�c�E�:�VXN��������W�u��Y!\�
�L�u�#)t�joq+���G��|�����
?+
Y��(\xjE��R(z^IVd�{�1���p?G����*R/���B���[@���6pQp[�I�k���a����_ ��L�M��L������D��<�d�D�.p���
E��
N�
���B��1/�gNH����u�i��(,SV
��TQ�dH����Q�����4Uy��/�]���I��f��Mj��LU�5����E�{��A��n�
J"�#�>X4���l����=���+)��)�(�u�p����
�
���n'�S�
���d��
E9[ ���y�_�G@�nL
�#�g]��L�p�s����9���E2����w
�^]o �<b�i�N-�
�@�\�&M��xA{�']*��{�(�k�{D�p��(��EQ]�����x����� `��Je��q�������O�_���K
����:m'=�^c�����n�<7��[��8���T(��������
:�G�����C�EP)4s��f�Tvw1�x��9�����)^�{�a���#��.�nH��1�T��������U�p]%P����*���5�2�~
5���y+�4>�Ew8�h��
�
�u���z�sg� P+�r��)d���l�������J�t��d@�U����������f�
�)������C�W��(%���G"��- ����ji��v�i�k�R���`>�Cz�- �,��j.�<�B@ M�B=��"�����/��u���l���"sa
�M�)� �������:)�J�$���\��_%�GS��r��x��MZ�{y����r����f�D
jq~0 y��Ia����z�>w����&��rUPy C��!����x�X�3�]?sgE)�����82j0���CqH�$�W��Kd9O
��</ �_e�=�n)�
��]q}���������Jn1��v3f(����Y��#A�M���M>����3 ��Ags�i�R[w�J�nM��PM��<� ��4N9��e���Y+IC��D�����rX��2~�Wy
KA�Q�5g[����2�`�_���p�_�� ���
���_�EYU:�<q?�s��Z���$���e���-���-����6\
�X�;z)��<��X���1[
fO�m�/�.���}�?y�.Al������
/nf��8��������u�Q�a 5��q
��Y5^%G��_~
s����Z�������6D�LAk`��-��r����ho8���n�x������D]\
MG� �!�l��,����/�-�9$Wl���
��b:�d�I�85�VW�8���K�dGt�!s������4�8�+<����K��XcU=�q1K_0KP+�On��|����kQ�v����B��=��nS����d�Wo5��|�V�r��"��Pe��()�rH
���g7�=\��:u�=�Z�X&
5�--{mxIUo �HQ��4�7|��d%�����}
��Bu�(x��q�?<��k�4��1���/
�.����%���8{��r"�<t���tn�_�������JQ�^��q���k=�G���~��:�������#��=�?2v��-�� ��P����;���5� ]����f���}t=+��`�'�r3����0(5����Nw�����2��> )���-i0��p��n�
��']_V�:�;�=�oY�SnM��s��7U> ��p�I�C����r1���m�)��{w3uN
>����1B�tN����1[���`T
n
�Mp~�9 H�3a����Q &�&�4������Td��K6���6J�rkdWW��
�#���"u��2����8MXl�������������d��
���Yfk�ScsKt��
v��
�o���vo�>�G�E�M��[�
��q��r�D�W�
���r/�<� ��E����]�:=d�L�OM��R�h3�4 �q�P
M����� �JH�N�I ��%
�n _Xw���8��f�
9��N�t���������W�<�~����y�B�w���V���t&��v�e�m������u���<�g{�m�`�]�5}��~�$> j����1M7b�����zC��P��_/�f�t�e�?�<zH���x���sU7g�W�"u�����YV��LE�
�����_�
7`t=��+�~�
G��[~�o�6?9n�_�����3��Tf�\�4�/!���� �N�N�g���_��S!������M�����&A"�
U��$��e(?�
�\Mt��� �
����W�����hI[����qK@�|�?�0����;M�!��K��cP%}=M���l:j�40y���"��
"��$
Hz����t�h S�S8s
^G��c� �d�B�.���F�E�p���^$b�q�*J �kp<^ey��&����K��<x�!)_��K�1w���������=��{|�:Pe��,�}�^���W��x��;I�'�.�k$��x��A��S������[Y�.I�|1���B�G���nj���� �����
�9*����:
]q��� ����2����-6�N2�5�t�p����3�P��U��(�3���D�O�n�����Dsud�?�\+T���$-
]�R��[����{{������?������H��O}
%��4��J2�$�W�5E2��q[��>�oo�HJVr�N��q���ea_�^�]{�K��(IK"��dr��z3�%�SJ�R���f$��3u<�))�e$��
EJ�M'N�����
?��L��
P6�t��> ��2|�
�H��ER��`�^������ �#����c�����T�Z(v����=�m���/��>�/2�JO��d�aJ� )�B�BS"&�qC��HY�a!�#!c�"Y�Z�����f�pNb\e�K�������Ph���UI����hqs�zk!JrIKVR��!I��!~g���s.��QC�������Cs�%U2���,fl �TP����K��D�L�'���&�*�
%O!�P���4-lZ�]�<�>g���K��=jO��M�LR�&6
T�3~�p�H7��43��.��bY�i�����t
)�lJ ;d��}K"#����x�g�D|!�T�T/d�#?����G��87���
H�
,B!���4�E���3B�Lx��t*����s��>�
����q���\
.af����Q��&e1�"�\��NX�=����$R`����#�� $�j"�e�MY��U�h������r����@OM�re`<�?6i$�^c ��0��>����$���]-��Q��D����s]�0�B8VS
��Q��)�����k��*������
�$�
�D�o ���K �
bc
�u�-G8�`��f�e
����5
qNd
�c��R|�w�� M$sj���0�LQ����9ah|�O�By^�^�#0[tl��������9auQty�0�2lR
�
7)boR$p�x0h4qZ,!�X�����ZM=5!��T��%�
���� hu�kc�0$�]�}x^��iP��1�)����I���Od�uQ�
�^hj/�6��
^,#V��"�O+- �5�ra
���
�*:H�V�q�+G�������2v�K�
�0a�����H�SNV RB� 1��gs@C<�(���Bvo������_�����qi���g���,�����'E!�Oe�@�/�9qH�ug�n7�Z�����N�zL��>K����0�iX���2j��HM����l>��E��H�
�UF�w�EaH�"B�?>��E\o�RNFk�L�^��\�����zX����@�ys%�tqI�Bp&����8�A��?U�\���il��8`m��� ��d�+���r
�p���
R�\j�=����Z(�S��s /e>P�<Js�;A��'���-u�$c�<���
!�a"��% �+n�������z��p���*���5�� �PG��}�R�2i���}
D�b�$�kn4#}|q/���I
Ib��I��l��ju���� �wI�K
��U �B��%K�����Sj���E=W�E���� ��]���}Cj��~^!y8N~���3����H�s��!A$U��z��l��m,k1�LL�.T���
J��KT�"��=�-�(�J\S��>�}��H�,E���B�\Niz���]�5�
����#:_b,�� �#�9u�S��J?�Q��������>y0�LJ�������HSN�$���(E��6^D}4�m�����L�����a�88����k1����P
%�IYJ�{�
J��'�;�8�����^���5��
|�
MB���QN�L�.������ ��s��P�������=�|Di6�6
�� �f}�]%r��$������c3SS4���!��%
)��"�$���xaN��q+�Zlm
��6�T.A��v���o���
�T�h^��W��7��Z�E�J Y'1�>e&��
��S7y�<����c@�9e:�b� �����cob�$b�I�C�kI$6�b0�+d�P�Q�57y
���� e�rqi����DU���Rh� Fh6��V�PW�e��\4�L�����:� �M�k�k
G~Y����#�"�� ����$k�ZM3�e��W�D(������SL��~'({l\�9���<AG�2�ZY�
�2�\�B�1#���8K���Z�����Im�N$��
�k
��r���H�&qN�K���u
��I�g�
d�
��S��GI^�������4�[L�PIv� �� 8�
�_��@��P�O�+��L��
I
�����)� �} �� ~��p� )�gJ��sHF�<-B6����NN
�,�,�<���I�[E�������
j�:g�B�i!�2o@*�*�u������'i�&�&�
��_�
�QH$!��3BL��y�w����p%�
-���j�
��R���������Q�V�O�C�M��Z��?4����
b���4
��l��T�
���7��������
4��~!uC�WR��FN��Ged��=�&�H�"O�wB�
�eM
��=|�<��������AB>@! �F�u�7aL
��K�
��O�P���w
SX�����[�4�27YC
���G�?R����1�@j��[x���@Ax��[�+���� X�*��p�*kk�!��X&T*����H'���
�c�|T]$��A2P���,��H)T�����'2*�
H1D
p�gDi�
>�B$Z��K
��{lA��vS�� �+�
���A�������������*y��o�~
���d��
�����9V�r�H<�����
�cb���g�T�����e}�Xf���ys����4����*&������d(�F"����)��e�c�z) ��r$&\����&� ��{ #Yo���'J�.�M�RbSI�\�b�<��2
���d�&��O� �� �B����) '%���RJ.��dH��
1���R����������T�
�|�w��B�����xq�'V&�Z�
�.��'�K&�LbV�* �Q)��P�<��2`��K��
�+��1�|���^J"`� Pc=#!���V8�a*�e�%����!_��I���d&
����6i�K�����ouL qN�S#�dRaNfK�����1y��O�Mj)N"����
���L$�1?�
�� Sk<�
���x��d��e?O
J6
H�J��~!��0�
5U����EW��No������,��d�F�X��R�&�}�
�O������W��#J o
(��
��@���2
��r
p����G�����
����r�i��c?��k#M���d��XrN"�������NM�9A��
h-q���i�}����T�����toOP��E(��J|\�(�lb'p:_c&�t ��8r/���Q�
/!��� d��4��c[��������+h{���4[����K*f� 1<$3
�sWix��S��=��T�Q��SXj��_\&�T��/�M4B�S��h~$�H 3("��j_�#"N�C"�K,K���� �����1�9��
� �!PP*���
M"�Gx0����1���*v�H"
T�GG^����_��H��R��0x�pl�C���t��D�-%���\
� 6���O�*��J|2������,
Y)!�hK6C{�����%�>Q
��J8���\�S+��f)�H}L����4Ls���$s��8��8����z*S�����)#�$�((i,D�5�v����twa<Z��d�a�K�S�:�I8
��8����%DY�
E�4�WHE& ����
i�y���c��3/(i���:��|��N<�p���}'����:�\N�Pc*���4M>�����'b�3�
���]�4y�l����1���* 47��lu��lE������{��O%��
���(��
cOWS
��l%hv$�����`A�b�����,ca��r������x��Ih� ��X'���4p,
��2�dG�!���<#:@nk�b� ���D/
H���� sh�
I|�D6a%� ����$5���I %�5U������
����n"O|���"�D
W�Ab~�o�(H
���������$�&�o��<��
������8xd,tadZ� �9�yYG$ ������&3N�L��A��V��*�v�@G� �N�^Zd�d%���Fqs���� 2�����L>��o����0�8L���Nq�&= ��q�O`,��t)
��@�n��)���I~��n��i]J�#|4�d�L�X���O���wR"13Z=�t%#
wH���x�d -�(�R
���LA@vr.�qH!�?�H� ��,W�Cf"{����(��k}���z�`\�J'y��L'��3I
�T�9I�r�/�}I�����j��� ��`xH
*e��V����'�U���dP�8)���$]f
�����G�u����?�D��y�5�.n������o��T�����8�d��^���Y52�pTJ�F2q�\H-lu��� ��
^P9����DzW,!��
���
�4T �0k�D5f�"�)'A�>��`H
Sl�
_hK!�����a�fZ]�\p��pMC�H$�1Sg,0R���������^�����
�~����po����\E�g�>2�����AAn�AF9�����0�YF2+���d�W��S*���7�h�LRc!�%V�~P�O
�P���
:�jx'�$"��g�>��TB�X����_�+�P����$������(���
jk���r�:�4���%HoqHg
������������E�K� ���v0��e68����e ?� T����C��T�
�:�d�
�kcJ�H�e�d���p�G��X��?xY:�H)BY�&��VsQYJ���������������d2f��$n�R��I(��vs��0�����p9V"�<����HRo%�C���� M�s����x����DK�9x��z��}�9A9�>�W#�\)j�sr�
�.�5's�=)l
��[S
���#�
qdN�7��ii��VsLn$�&W���
����3���3�� �'`���)��v.��l��,�O�%�,���|#�_�;qXZ�
7����J���
v��btZ
�
��X�
�r$��\����06r���IW����O.���� xqh��mK��z�l���H�f�"�S��<��DzR�
�i�a�|*Y�
Oq�#�'����k&�
6��.H
ZP�H�+��(-��%�O���pIR���V]�R-(���J2�2,3��KN�X2
b�� ��LXzJ�^L�
7�����7`C�
����{ �1L�!$�@�������&*d��� %l����
Q�$��r�����`���Pf�!�5�;���q&F��� B"0��/�a�Fx�����%�e_H������� ��������\�d��9�M �D�������dv��q
��&DdSN���$X�I��`��2D�@�4$@��[%�}�S�����A�,
�?��x#�)#M� �$B�j�O�\j� ��d�a�
'P=�����9u���%�%���,�-����I��jXB��eS'8�h q!��}����$�A�x�J.Su�+�8����Hy���%���Mj-� K�qH��D�d#
-�������#>%�V��N��(
��;4���(��c�'��I,����"X%�2
�����\O�<l*��������G.y0#["��KJi�AFT��&<'yv������Q���=%��"���P��e�!.�Q�����q$AA�
�;��h@�R�
<�/�Ji2��=���\_j�lT3�IC%dO<f�3n�M�~��
s��>I$����U��3IY�L#���KZCQ�H�D y�=��
�D���P_Us@L@?�p$���1�����I�dV
�Q�=
P��
�����I�D��G*�
���w
��)
Av}��5-�4�{���jL��l�P#��>����� esb����k
��cg�(�����p��,S�
�ae����=�����d.�{�3��=��
d�u��K,i��Z�n���60�7���#i�7��Z�;e�$A9�q���i�sJ|��gf�P�6�%�F�el*��x��+����$ �y��A��@���q!�~6eH�EaE�u� K/����-p�A��Xr�i[�n�]�
���
w��+�_��$�^���Tj2xZk����`BZ�2
\�B�T��(�7�e_#"q��,5�eD�!�'������Q�J2E�P�e6)��*�$�
�CeEA�1er���R�!!s�sz�T�*|*D�7�p$^ �Q�L�Zk[;��H���h!�����
�����u4��0���j�#a��A����K(prQ��IF]��i����R�3�����J��
��H
��9z$PQ��
l� �fizS7$A�I�����!���%�T$�H�H�.�5��_2������SD��2>a������&O��e���'���e�"�<���6!�h��^��fL��`��8�G�
{��*X�Q�*#��G��05@D������,�CB����d"�Y[t�@���^��
-��rU>i�M�zL�#��
��!/
����jr��$���1���u�L�����<t�S�
�q��C�]�������c^ A2H+jJpW��$U
�
5.���
@
��$�o1��@�d�I
a�ha�q�
�u���Mi2��Lx�9�
R
q�qY�>O+�#v����
���JBV��} �Hk����
�������9#+�Me�� ��=ER����uMG�j������N��u���q�L���d��3j!Q�.��3�PTSJ�G
����1)��;J��(j\9T
M{�v� �s
h���0�����h
K�����
��8JPK�����]Po�
�H��}�u��|��~_�=�� �G2����s�]��l�����= �T6D�C',N��C��q���BOJ���8'L�����O���5�W5�Z����H���U�+6��
���7��
��
II���</"��Hc��:�=��z�����)����
��i
�GA Ap����X8���=�o�Q
����F�l�KKh���&X�P�]bHJ���I�J
�R8c��,�u.C�x�I��8����@��+a�OuJi�>�M��q�����c�&]��kJ��?���W�i�S>�yb[U3��[���A�c��.�b/
MG[
u�<u_���'9�}��r ����?P/���^I>w�q�L����;�������x�,��k�k6Y^^9+�z �8
��b2�;���x4���r6�~\=s�XL����35�h<�/�.'7����/zo^��r�L���a2���������d4����������,��
�����0
M�7��pzU��y����"��,��7'��o�F��>s�{�|�w
_�~��������Y����>o����gUc�I��.�z�:������P
�u8����dQh|�#�T�P�
����m1+�Yq=��F��,g��X
8��8+���}��p���t2[XZ�>�C��re0���h��e���7����l9����wf�E-�'�t�gfN5����a:\
@9].�����(of�|�k����Dq�LJ{�0W�NCs��6�R��F������&s��y& �uW���pn;5_5vo��fa�{�������?B,��3_�������6����y���r��~=~����x��j����_}�7��.&�b<���;�O���b������
>z0
%c������Fz���G�h^��3��K���~��3�4����l���p��Z
�����1
���Sg����C1��s��Z�v<�:{�����S�?j�����lT��9�^��uJo�����73�ew4�
�����Qj������U�������1�{<1
_T��������}���|3
������V���\\�� ��2 ��h(~|���?�7 ��<� ��\O��S�
YY��W0�p�k��8�vE�?���������^�|���Y�\2�R?}������|�d�� ��w�����q������&��d�]�N�T
���Y
��V'v��A������
�{`����\��3`�z2��F����������V���}`��_�5�
8{;f!���>������+= f�=L�<u���iy����
���
�[�����7Z{ �<�~;�������C����/��C7��5�|��$���9�y��F������`A����#
c��AA���d���}�]9��M;��><De2
�������y����~h}�;�
z��J���c��{4�uH~,aE������qMn�0�u��(�����n�s����;�o�u�^x�S5��g�c��.N��{�a��sju�"Q]�o4cQ
�����Fj~>KR�h;� XL#�u��X��&6�~�����39������-�wc����
m����^}��64����F{�rrXZ�]���uho�H��/���E[��?�?l���x��v�����H�,�8N�m�����H���"�;Kf�a2����M���N�o3P>�g(o�n�O���
Y�e^�PY� �\�����r�Nfo�����~��h�b8���u��O����6t
���(������� ������1���E�w������ u]�Wb�{���p�����+��W�6>s������m|�l�Sg�o�W�L��X&�����f�6�a ��������{�=UGd��]�b�T�j����K�
��o��� W��4���:�X�_|wU�f��g��y�z�S�"��M�S�WZ�0�~�5t
�W�<���o�:7 �l�
�
����Y�-(�{����_����s����>?�����m�����H����f.Z-�N��1���������� �|Q���
��=u_���:�Bapo����� ������1����>�u�
�0�;����b��:���� ����f������d��a�N��~�\V���������l��L�br�\iB��fn����\��U�O��������
=u����F������F��x�����x����W�{�B7��!��u'�s�����5����c���F`q!�����.��5m�o��
���%
������C��p5F����8������
TV�=�w+i�k��w
a���!%���s���y�h����m�hriQ�3 -g�
~�}\����L�E�LCJ�?/������S�GK��x���������N�OO���� !X�/EI����3�D�8+��X�D�b����
�U2�p��-�A
���<��))-�;J�$!�������w����
��c>S�*lQ}W��V�Y�K-���` ���6Ld��B�.j|,�D�t���]Z�T�������I<������dv�Jf�1��/nX��-�|s���l��" ��;�K��b:�i��;���%�����W��?�>?�����|k���vv��������L��3#y�����YE#�I��������v��U����7��`a{��p�%��u��{1r��1���q��XO��[�Z#Wf�@�#� /�S}T�����Y��������e��97�hY�����D�J]�N��8>�@8y���e��U{n{~��N'����������yu�4FQt���j�v#
�V�S��cn��
�*F����&�:��4�4���d8�����"�s����}����Z�������n��r�������b��M�t����~X���H
B��q���o���#��q:����<w���h�x�^0wx
���S)~���,������Nw������lxy�p��}�����w}��Fj�������I���O��b4�2U� &��(������
�� s��+/G�����i���]=����Y$2�X���Zv�W�:^����xy���/N_�&�M����/^���
��w������S��
�]�c�Sk���8����;�/�����Y�����r�����|��ws��da.���j������'7n�
����h/��;7�u&Sp��
�t{��
fRc��U2s>a/~����u�f2����e�����[�{!�;�������0<;�g�;�3R"�,��;�a��xg��i�?����f<���������g�/�����I�pk���b��=7�8�u���R�����������?��TKn���L���=a@n�S�8�Il�������x�|�V�s6��K��g������e+�������FSM������:`��9�UC-�����V��# W���~�A�nt2~w���;���d��
W�8$1�!����
�J+_��k�������YM��&�r�Y���x�g�:SrP��#�r���4�5U�e��y�
�YqoV��
2�PmL�������]�`g2���r��
f
�w�]Z�j -�{.�
�4V��X79�,g��(q���NFo��j,rN��\�n�A�#�
��[�M���3j7��C����f���%�ar X�
�>}����{�4��0q�vCH��� �S��VR��`����;��������v�?
�}���-u���)oV:��������puj����v�c_C�^�
����SX@A+�����W
8�K�],8b�����WD�f��/O��]l�S��J�l'w9�����O}��Q����zs��5*�����&6R�]���
�W�h�����&o�a*�� ���_��J��19�����U�g�_|����
���N��~u��:�
b~^�/��7-�K�������?V����,���W�|����r>�����5�
6.6�m��J�o��,�.����(X�5j�i�M��&�q�����^�l\Z��kVho��\�9��5�=u\��j,����jk����o�x�'��2SF��mC���a�bv���g�_�xy� ��.$J/$Vm��.�z��Y����J���dXY�������7'�i����J#\������
?g7�}`�o��;�6oh��|�M��J*����y�%�|#k��t�����d%��|��y���;���������k�^V
)�?d�T6����6+�5�����bz)�IF���>�0+�G�
��>��O�_~���:������
y������0 ��<s�������zj����
+4w��r�3�|������(k5u
���{-�u�9����������n~]:b�
go�q���0����z-���-�go��8g� X�>�?4��5+T6{���������=+�i�Z�<
>~�x�8{�x|��F��^��y�����:����
:
��e�n��*~lEa[Y��4R�r�'��n}N��zxS �������V�/��_^��_���~{]O�YMcC��"���J������o[�,&��xS���U�����L�^���
��y1�
8�"��w��?�����Ag��F:��=�f�j{h
�c�,k�����7�2���"��e"�d�p�xj�d��9�f��ki����?�2�����N��`����V\�WG�����l
��X���j��8#�L�
A��
���A��_wC�K��N����C����G��~��j-���o�-[�R�b$�Q�G;#�&3��6�s
s3����x�����%]m����y�
h��./���D��S�;U�z����H�
Y����{�Y��u2q���m�V�s�^�~���
HM#a���__�z�P[x��� �Z�9'����Yr>����i�=����VOLc����������on�@������������9y
������n��U�]���z�An��n_;��u�C�������^���M���b���O�r�H�3��N��FC�@6K�W���|"���b6���QK�x:��h��:?r���6�d���%4�!�
���]T[���zQ�������7��i7�����RX���5h��m\����G���.���� O������V 2W���cc�����ML������^)+k���� �F[�W ���N��E��Ov��xD �I���5��V� B��tUo4��
<�m��-����
[{�Z*�
kkl�����w)n[f]���7V��Yp��:/t���C���4��N�Nn�&������;�*������_>���EO����z�'
t��Zt*��e�Wf�:_T��
Q?[���FYc����gom��lW� 8-:-AjN�����L��U�W
�
����vc����������R�5�T-����*W������I����y�B%�_$+��_~{��V+���|�}�[_�������+W���6�V��b��k/m_H-�u�h��^��8�����:g�Eu�g}��&s����������%h|������^���c������b5��
���G��r:�`L
�li����
�:�� {��v��M��B��3{�<4�"+;��D�����^����G�����81�;�cK����m�Hcmv��G��f:|��X����T�Er0�
(gW�����#g�f����v�{����
��Jb��m���zk��zk�-R��`�"k�g�qw��u�����T���4�P-(��f�!����~w���u��J���d{?s
�n��7v��&������z�����Fk��L����o6p���j�U_-����K57
���tk���m�;�\�����'S��bwE��
9^c�4DQ�������R�
�5n����}�6�D�?���'+��)��Q��6W���N�����#
��a�m��,���G�*��e����V�U����"�S��/�L6����J����]��[B����wySi&�Q�2���a��Y�-�1!��H���Xi�������z����^�l�z��.(i����=��S�Od��bFf�q?�=d���[Ml���H�`����I�|JE'���r�b�������+�u��c��q
�����2G�l�*�T�s2���{��.M�Bk���aG�w�v���h�56��� @l9G�[cw �X�-b�H�
����o
J���lo��#��KJ�
qC=�\�s��u�4M��&Hyp�a{�_�)�f6�Jk���Q����m*x�Z[���pS����T�iq��h�E��) ��!�xx�<��|��{���g$r
���I�g�O�j7�����=*�
���s#���d��b�x}�u ��;��z��c��g���C�&c�$�� ��������O%E ;�����#���!�0(������
]���eJ
����g��_���?��h$���%;p
��ey�1�L����ztL�\*q�
�<���7.��;w<?p
m��F����m����<g���x��'��n�:���\K|�SA�|�,������F��=���J.�
��p�a7��~�����F
��+����[#����N ��� �|$j����� 9��Mq �Ow����ww��s�.F��U��g�r��qrloC�91=�S��_'�������d��v���>n�W �&���9��~9���������#��@N
p������wx]���y���
�u}�����U+��������Dp��i2��J*IG���?se)Y�����R2/��|�������4o-�5��{xPw��fs��c���r.�&����
���J�x
��PZyIoo���
��R��
R`9�e�P�N�lIT
LLX�I��sJ_Mtg�
���b;�5
B�� ���r�,5�3�
��
>�j���f�Y:�x=�o
Y�6L�R��;�"�X�3ClL���zP/U �%�
r
�-G��&!�a5~U
Yv6�&�V���!���e�[3l?
i�����C���u�d��|0"���������� ��y\K�p���i�L�(��u����0�8Pt�h�z��
�f�i�M��V��E��j�N��X�bM�5���%1d�� $Uj
���i�4� e�\�v�3�o�������������*8�@�x
�B��m5t�k�U���.���]DkY��!cF
Z{
����k�v�=��[�m�d
���v��<���
��N�\,Mj�Q�a�g���*3�u�����V[�������Q���j_��'�--��8���e>���?
?
6�h�R����F-46$��g�Frfi$e~[��_fU��$�l2~w����/N�� �5������*����XO��_;�2�dGf������T{�l ��q��&�2Y�
�d4����`�@k5�D�y�i��CE��4G�FTT�����;
IS
�j��O�,�{0��6\��z36�
����0������"_% Y=cZ����im�7ow��b���LY���f@�Y'Z�Z�����FG�[D��t�J
����8�E��?�]1ZaV�zd���U���B��-<��ZYT��'���.Z
4�ZV���!��(w��<+X6���?�g+�n����S%H4"���d$98KF��}Xe�99���p����yi4
KS���tzhY~[^��c��J���T
�[WL��:�98+�W���X8'�����4'��]�j�����H�&K���o���:~��n������ �f�6�~
i��'��
�����l/
C�
b%(����F���#f
p ������6MH%�'v�����DbDjbdB��L_�
nA���F�d���g�q�\��:yj�-�N��]V���^��������
o�sV�L3�lc�A������.5
�����O-s��u��6���x�1�����80���]����T��
�
9f9�mB���=���'C�a]���t��
�VKh
�H �y�2�1}:&���yW-W�:3g5��?��/f��b���vBm�c�-�1��%J��&�g3����
m��tC��R�x��D,�=���6���_���_�1�KkN�O�Vj\��56���]61�
�b�5�]8`^ng��v by�&��_[�$�
�7�y6"��g�M-�j�f
���
�[��[D���
2����kx����rZ�
KCg/��I���=�K���d����9nV�����T��6�e�L�p^e�1�m\f�&����p#~��
jm�u��.2c'�Z��}W�h��^ ��
&��G�\���-���hQN�S��]\~�l�dlj<Y~�"����y�����V��
?�H^m8���
�_B9�(��(&��A�O_��
aXR�����m�[�����'m{T��������������$�����]��H�eY��h��>kL���,��/���6{�=���Q
�<�euC��c�9O���*f��;u���d2�
�Ey4�]
_-�G��2
� �y���;96o
V}G����7���hr�,e�1R��?���P9�����]Y�����+�E p}�����=��2/��N'����E������G� ~7Yb
��Y�hS����6����f��������g�`�NH���8��"��X7����/����V�I�RU����Lk���uS�]��o�-<1���y�2z��x��pe����# �jw��T]a��Rj��Q~v�>{� !��f�y��$q��<:J��
����z��=����m[���{�A|9���>{���G�_��<���6i @T9wt��*h�zt4�d��pVH;�e�~g��M�p������G�3[v��n���#|FcU���b�;w.��8`����T���Q_�i�>��>�
�&9 {�A�����Q����{��1����L��CLv���#�k�m���,z����c<H�>k.��o����V���{�p����dw�5�����! 6&�&�vcc��g
@V^�]���5�4L.�J�VC``�JH�����m8e��A1F0l��*�[o��E������m*�n�jrjC�I��m��d:d��
�NO���E���{t��q]]�"fm#k�q��}IuOC�;nVK��s����^pt�I?O"7H�XJ]"[�Q��������o�����}��:UY\�F�J*3�+�k�F��O�_��F{C�
��-��>1+h�� �������q�����0�On Tue, Jan 26, 2021 at 11:15 AM Bruce Momjian <bruce@momjian.us> wrote:
This version fixes OpenSSL detection and improves docs for initdb
interactions.
Hi,
I'm wondering whether you've considered storing all the keys in one
file instead of a file per key. The reason I ask is that it seems to
me that the key rotation procedure would be a lot simpler if it were
all in one file. You could just create a temporary file and atomically
rename it over the existing file. If you see a temporary file you're
always free to remove it. This is a lot simpler than what you have
right now. The "repair" concept pretty much goes away completely,
which seems nice. Granted I don't know exactly how to store multiple
keys in one file, but I bet there's some way to do it.
The way in which you are posting these patches is quite unlike what
most people do when posting patches to this list. You seem to have
generated a bunch of patches using 'git format-patch' but then
concatenated them all together in a single file. It would be helpful
if you could do this more like the way that is now standard on this
list. Not only that, but the patches don't have meaningful commit
messages in them, and don't seem to be meaningfully split for easy
review. They just say things like 'crypto squash commit'. Compare this
to for example what I did on the "cleaning up a few CLOG-related
things" thread where the commits appear in a logical sequence, and
each one has a meaningful commit message. Or here's an example from
someone else --
/messages/by-id/be72abfa-e62e-eb81-4e70-1b57fe6dc9e2@amazon.com --
and note the inclusion of authorship information in the commit
messages, so that the source of the code can be easily understood.
The README in src/backend/crypto does not explain how the scripts in
that directory are intended to be used. If I want to use AWS Secrets
Manager with this feature, I can see that I should use
ckey_aws.sh.sample as a basis for that integration, but I don't know
what I should do with the script because the README says nothing about
it. I am frankly pretty doubtful about the idea of shipping a bunch of
/bin/sh scripts as a best practice; for one thing, that's totally
unusable on Windows, and it also means that this is dependent on
/bin/sh existing and having the behavior we expect and on all the
other executables in these scripts as well. But, at the very least,
there needs to be a clearer explanation of how the scripts are
intended to be used, which parts people are supposed to modify, what
arguments they're going to get called with, and things like that.
The comments in cipher.c and cipher_openssl.c could be improved to
explain that they are alternatives to each other. Perhaps the former
could be renamed to something like cipher_failure.c or cipher_noimpl.c
for clarity.
I believe that a StaticAssertStmt could be used to check the length of
the encryption_methods[] array, so that if someone changes
NUM_ENCRYPTION_METHODS without updating the array, compilation fails.
See UserAuthName[] for an example of how to do this.
You seem to have omitted to update the documentation with the names of
the new wait events that you added.
In process_postgres_switches(), when there's a multi-line comment
followed by a single line of actual code, I prefer to include braces
around the whole thing. There might be some disagreement on what is
best here, though.
What are the consequences of the placement of the code in
PostgresMain() for processes other than user backends and walsenders?
I think that the way you have it, background workers would not have
access to keys, nor auxiliary processes like the checkpointer ... at
least in the EXEC_BACKEND case. In the non-EXEC_BACKEND case you have
the postmaster doing it, so then I'm not sure why it has to be redone
for every backend. Won't they just inherit the data from the
postmaster? Has this code been meaningfully tested on Windows? How do
we know that it works? Maybe we need to think about adding some
asserts that guarantee that any process that attempts to access a
buffer has the key manager initialized; I bet such assertions would
fail at least on Windows as the code looks now.
I don't think it makes sense to think about committing this to v14. I
believe it only makes sense if we have a TDE patch that is relatively
close to committable that can be used with it. I also don't think that
this patch is in good enough shape to commit yet in terms of where
it's at in terms of quality; I think it needs more review first,
hopefully including review from people who can comment intelligently
specifically on the cryptography aspects of it. However, the
challenges don't seem insurmountable. There's also still some question
in my mind about whether the design choices here (one KEK, 2 DEKs, one
for data and one for WAL) have enough consensus. I don't have a
considered opinion on that, partly because I'm not quite sure what the
reasonable alternatives are, but it seems that other people had some
questions about it, IIUC.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jan 26, 2021 at 03:24:30PM -0500, Robert Haas wrote:
On Tue, Jan 26, 2021 at 11:15 AM Bruce Momjian <bruce@momjian.us> wrote:
This version fixes OpenSSL detection and improves docs for initdb
interactions.Hi,
I'm wondering whether you've considered storing all the keys in one
file instead of a file per key. The reason I ask is that it seems to
me that the key rotation procedure would be a lot simpler if it were
all in one file. You could just create a temporary file and atomically
rename it over the existing file. If you see a temporary file you're
always free to remove it. This is a lot simpler than what you have
right now. The "repair" concept pretty much goes away completely,
which seems nice. Granted I don't know exactly how to store multiple
keys in one file, but I bet there's some way to do it.
We envisioned allowing heap/index key rotation by having a standby with
the same WAL key as the primary but different heap/index keys so that we
can failover to the standby to change the heap/index key and then change
the WAL key. This separation allows that. We also might need some
additional keys later and this allows that. I do like simplicity, but
the complexity here seems to serve a need.
The way in which you are posting these patches is quite unlike what
most people do when posting patches to this list. You seem to have
generated a bunch of patches using 'git format-patch' but then
concatenated them all together in a single file. It would be helpful
if you could do this more like the way that is now standard on this
list. Not only that, but the patches don't have meaningful commit
What is the standard? You want seven separate files? I can do that.
messages in them, and don't seem to be meaningfully split for easy
review. They just say things like 'crypto squash commit'. Compare this
Yes, the feature is at the backend, common, /bin, and test levels. I
was able to separate out the bin, pg_alterckey and test stuff, but the
backend interactions were hard to split.
to for example what I did on the "cleaning up a few CLOG-related
things" thread where the commits appear in a logical sequence, and
each one has a meaningful commit message. Or here's an example from
someone else --
/messages/by-id/be72abfa-e62e-eb81-4e70-1b57fe6dc9e2@amazon.com --
and note the inclusion of authorship information in the commit
messages, so that the source of the code can be easily understood.
I see. I am not sure how to do that easily for all the pieces.
The README in src/backend/crypto does not explain how the scripts in
that directory are intended to be used. If I want to use AWS Secrets
Manager with this feature, I can see that I should use
ckey_aws.sh.sample as a basis for that integration, but I don't know
what I should do with the script because the README says nothing about
it. I am frankly pretty doubtful about the idea of shipping a bunch of
/bin/sh scripts as a best practice; for one thing, that's totally
unusable on Windows, and it also means that this is dependent on
/bin/sh existing and having the behavior we expect and on all the
other executables in these scripts as well. But, at the very least,
there needs to be a clearer explanation of how the scripts are
intended to be used, which parts people are supposed to modify, what
arguments they're going to get called with, and things like that.
I added comments to most of the scripts. I don't know what more I can
do, or what other language would be appropriate.
The comments in cipher.c and cipher_openssl.c could be improved to
explain that they are alternatives to each other. Perhaps the former
could be renamed to something like cipher_failure.c or cipher_noimpl.c
for clarity.
This follows the way cryptohash.c and cryptohash_openssl.c are done. I
did just add comments to the top of cipher.c and cipher_openssl.c to be
just like cryptohash versions.
I believe that a StaticAssertStmt could be used to check the length of
the encryption_methods[] array, so that if someone changes
NUM_ENCRYPTION_METHODS without updating the array, compilation fails.
See UserAuthName[] for an example of how to do this.
Sure, good idea, done.
You seem to have omitted to update the documentation with the names of
the new wait events that you added.
OK, added.
In process_postgres_switches(), when there's a multi-line comment
followed by a single line of actual code, I prefer to include braces
around the whole thing. There might be some disagreement on what is
best here, though.
OK, done.
What are the consequences of the placement of the code in
PostgresMain() for processes other than user backends and walsenders?
I think that the way you have it, background workers would not have
access to keys, nor auxiliary processes like the checkpointer ... at
Well, there are three cases, --boot mode, postmaster mode, and postgres
single-user mode. I tried to have all those cases only unwrap the keys
once and store them in shared memory, or in boot mode, in local memory.
As far as I know, the startup does it once and everyone else uses shared
memory to access it.
least in the EXEC_BACKEND case. In the non-EXEC_BACKEND case you have
the postmaster doing it, so then I'm not sure why it has to be redone
for every backend. Won't they just inherit the data from the
For postgres --single.
postmaster? Has this code been meaningfully tested on Windows? How do
No, just by the cfbot Windows machine.
we know that it works? Maybe we need to think about adding some
asserts that guarantee that any process that attempts to access a
buffer has the key manager initialized; I bet such assertions would
fail at least on Windows as the code looks now.
Are you saying we should set a global variable and throw an error if it
is accessed without the array being initialized?
I don't think it makes sense to think about committing this to v14. I
believe it only makes sense if we have a TDE patch that is relatively
close to committable that can be used with it. I also don't think that
this patch is in good enough shape to commit yet in terms of where
it's at in terms of quality; I think it needs more review first,
hopefully including review from people who can comment intelligently
specifically on the cryptography aspects of it. However, the
challenges don't seem insurmountable. There's also still some question
in my mind about whether the design choices here (one KEK, 2 DEKs, one
for data and one for WAL) have enough consensus. I don't have a
considered opinion on that, partly because I'm not quite sure what the
reasonable alternatives are, but it seems that other people had some
questions about it, IIUC.
While I am willing to make requested adjustments to the patch, I don't
plan to work on this feaure any further, assuming your analysis above is
correct. If after years we are still not sure this is the right
direction, I don't see any point in moving forward with the later
pieces, which are even more complicated. I will join the group of
people that feel there will never be consensus on implementing this
feature in the community, so it is not worth trying.
I would also like to add a "not wanted" entry for this feature on the
TODO list, baaed on the feature's limited usefulness, but I already
asked about that and no one seems to feel we don't want it.
I now better understand why the OpenSSL project has had such serious
problems in the past.
Updated patch attached as seven attachments.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
0001-crypto-squash-commit.patch.gzapplication/gzipDownload
���`�0001-crypto-squash-commit.patch��\�w�F����+zh��"��nYR��k|���_^��Mc`pH�l����@�%���y����"�]]U]�W���G�X�l��vz�roc8t��c��������g������
g����o�@��DtwD���D�����Af_������?=;���X}l��Q��N���JeS���?0���uAn����Vg������?����_� _����������$�o�
����^R�Y�Un��������C��E�����E��-����4m`;�d���
�7�'9�|)Vy�63Utw�z������7g�x���X9 ���]��G��
O��1q��&�Z�������9��{�j�����(�cY5��mU��n��p��K�������E�x�n�7�R7��7Q�Y���
�f���A
�Hl�L�{����l�}�A��&#�F����Yl��Db�:M<?����{���LC��yfO�*\�L4��n���M���2J�0�W���lS������V���p(,��K��^�5���j^���b����9
z���`��Nw��%E�����$���z
r���?������BR�e�+�Pk��^4hB�m�r��%)�����EK���;hO��>*>��V��j$9���+�i��I��H���
��CO����a�LRh��g�����Ptr�����4��
�DF���)�
�
>�����A;�
�t"9�mG�b06x
������]�a�A��AfF�.(����bl
&�6�ddk��� ����n`�)�
�
��t� �l�8((�XY��D�v%�u"�)x>1H�����@���z� �
R>"FD8�_���!8��
�Vm�kl_A%����K��
�u������*����pB�vdYv������~����I�l��d3&�)����%�A&H�XZ8��j�s�y���(����"�����NA���}k{>,@�^��~s�c�����
�\��
KO��
="
��T���48g�i��V� ZN��i�`j���9��\@Rc�
R;��W�z��u��L� z �_� �*��#��_AgIG�
��KZ7���C�����F�-3�����q4��d��g$m"*��c4E8`��E�#���5�
1�`��7�%E�*y�$s
f���
�^I�Q�J��3L���b�
�(+�Y���0L�pW)� F
��_
_��^\�)�\k
��|���w�+�=�s
�
K;�Ic1��M������&���x�M5��H�Y6�q�:����k'��+\F��a"C�vGm?tl��S��P��o�b�����hrs�p��Z����[� W�(G�^
��0m@)
�kKXm�V��,�7m�B�1�eT4/�,dj��`9Md��00�V���-���z�n8h�����
�A���Vi1;��5�A1������2L�,����W�"{7A�
7��d�"��6�l���-�v��K�AF
D������~ ����S�LZ��k�D��������g���f��������:M
��H���Q��U�7xQioJ�,
������l#0E��(U�]��hU8�
�����,���3G
#��Dy�K����A��x�|��et�>�������#��e����!�kI�&� 0�hOB#�V�LI�M�O
�g&G�}z���������fs[����V���q����"�v��7�����hS�w���B��q'�m�W/~{Q�2��=�^����A�,��+��? �=�c�o,-���
�����u4?H���G'>�:D>��w��:h�����YX2�^�c}�����M�X��h!�[����s$�0M� ���kjDd��
s@�v����F\=H�DJ�c��>�����b&�R�7����
��en ���|���j`���4�t_bG%��*��!7"B �2�_
3�
L1������
r��=H�V)�0�,ad!"����)aK@�����2���,,3����:�������
�\�dLZ���H�Q����y0�F�e&������9���@�+(
�4
,(+��������m�z���=�����j���!�+���46k��3K�]L���9���C�%Y}�B�t�lI �o�Z��H����"��
F6��PS��M�I6c1I�bq<����O�x�9�
�r���� u���(������\�[�Ke�������r��z����R}�a�
Q�tm�YSC��M^�
�6�LZ)��
�0�i0���Z�����.����^
'
���F�9����$
�#q���8G�����Ng������V��%�;�<�����5bq('� �0�����^���8��(�����b�H���T��T����>���E��2��!���k=d��
>�eN�(0{���ek|�z)'a��%8W�+s�pyG'5�`�t�xX�Y��*k��J/cd+���l�N�G
"��Jk��g���BF�%S�����k~���3vP1v����
��2R���N
�;0 ����;e6�HvX�;�O���v6�{����'�mW����������;M��5������S�k����|-���\t��y�������W�'�W����� ���"���8���(W�dN����jH���?�u�l+���5���������"�~�G �?����)vH�403����G����-M�����nY+s;��=
t���V��6���6���Q[?��!�p�����?��"��g��k��|d�0����~O�����#�`����f��
�� �h��x��@~�)
���x� c�d�������0�j����*0�D��A@�
��g0�v
CD����p,J�=l��&�q��!
a�F�f����1�
���g���Mq������������}�h��p����#)-
O,�;��^�X�� ����f���
ia���mlgf,��/J
��*��n�v�x����`����Q��`��|U]�
��?���v��������0�]�1�;�(|P2�L��*&�5
����
G�|��)�H�T�KeIX�C�AqL�/k����
��r
��
(!
H�I�
D
��4>T���[Yl F�C
o>��H�>-UIL;�=���>���v>
[E�<��x����e�k
5@���`������s��.�����?�����xo��F�D����v!���J<I�J�{JY�?���
%`:O���}m������Wkl3{����S�o�ec$*>��>X��/6�� ��c)�P������r�������_�
������8�����������i���
�9\��0+�!����JP�OuT�/��E��RCZ����n>y���t����D)���tl�m� ��1��]
Z�Z%)�'�
xi��<
����)@
���2*:
�j�V2`��
r7N=�0�!�U�[������)�[�D���
��ff�F���uS0�A�P�^�:��Rb6�9��T������(�wM�
�
�T���c��F�nI�h-�
���OR��U
s4�:�~��;�k��WR��v�I�3dp�����j.�q�2Q�������u��I�D���p��i
�S���G���
�q��>�>�����'R��`u�<|�����ke��V4Ym�"V���"_
���9T�I~OT��[����6��b��� ���y�������XM�<
F
N�fW��������B�4s�,��$:�L��V��
��������q��^�0�E�z+5���N�^A�B
� ����&���{��}b]�T�t�����d����� !'�
l�+d�n*����#6]E��<��;;,�H-n�I
�Zd=3�&����� ]� ���S�7����[�(>�%��� ��t/�z�_��MlO��q�
Y?���P�+��8Tiig��
�!l1���W�������%���(���1�v�Q���
�������������e�4��
�
�K�ik%�VO���
xA;
�Y>U��f��?�E
�0���~d�Zz{���m�
����"�!}v�cx�S$����K>�!$f3�cu3�����eH;�BmQ�521�'.��4��/����.,�5]��x�\Hg��CpZ��JG|�?s?���{���s���K,�
��8�����u�a���$�/�
`�����3�GxT7����?�'���lw�lO�
,*�y
$�W�3�a^~�R(e�����������C^�
�������
Q�z
�v��%i�����G�
�\���
�����
�Ym�Q-�#���U� ����YN�D�
��F@@�z�������������5�
a5�$R��3��|�����.�>yy�y����f�}�%i�����xe5��V�Sx����9����
a
���OH�������?������Vh����?cJ{.�P����*�����������;�}N��"�����LB���z���kC����b������g/��f�V.���
�������,}|��Y��6GG���
�G� * qd��'lT���U���-=ac��j���FR_K�X
;C�F+d��d�������~4c�T
0 ��+�zC�)�
K�K�Q\Xu�d��VOIh� �2i�O���"e
=�}�IX��� l���8<D`�/u�de��$��,�*����8��]6a��[�AggcW>*a�-g�����s�����k�T�������� ���,qR����T
M���s���v�$��ZwYP��
�A��Y�����z
������<���[� ���Dc�$�>tww�R�[at�vn<���G���� n������Qv�D���uA�'�o��L�'������<��Z���Y+Q�^����l���wo�_q7��L�������<{���d ���
k����7I��T�������`����(��8
�\���]
�
�E���8x���A�!�~P��l��
������t&:KSG�U���bJ]��_:��m
���_�[i����-�A/�
����"
���Hj�����oc.LU��.
��
�����
+�4���C�����0
�%�j���zE��S<�0������X����_.0�]�v�}!$��������h1*�mmW��G;~���q�������)��-�#��bE��w����$
��Cw`n���uC�����&��N�O���9
��T�Dd�n�w%�7
�
�!(>�x������h��,�?�s;�/�O����1
&�(}1������OC
<j�1 �Q$��gj.a�`5
����P��hu��-�������o�9y �]�t���j��>���
��K_&���Y�
�l����[y�F_$���|�#
����mF��;l4h>�g���
�
�S��M~V_���%�;N������\"���\}^�62�`�53�Flum
���)!��:Zx��r��
s �
(U�DoT���R����f�$5����)13��D�
�/
�S5�x�E���lc��g��MzzE�x����-��ml�����<���H3�m��W���1��9�
���VaU��8o��ZukL|�6�S�������c[���$9������*0��J��goO������o�����
EfW�(:��YA~���
�7����8
LU����PX��_5�c�1�������� ^������
v+�m�yA�����������C��!�_
�t|`����0�%F�
Yq���6�e�Y`1�}�y���������_a�����#w6v
a����`����S��$�!�����_�
���B����X{��|e�W������ ����V�F]y��q�2=������o
�f3O������::{*:�U^��m�VC�A�����3�������t��r�Y
'zG����h[=�b�'~��DX�����jG�3��Q���
d�>�I�����}�1�6�����'�KX��aV6u�����Y� ��e1�
�7�������
���S����}���D|G� �~}"}
1B�/]��
���
m��8����U�.�����z��amR��O������������#�y�+6�V�l�
1$edaT����!
P[�
�YR���.����<wV ���C�v�=�=�=�=$y������ ��Ki�q�
��]Ki�D������q�_fR�F��))�����S ��H9�l�T����[#%���9��RI��vw�ul�Q:q�3�1G���D��h���*=@bq����'����'�)Kp)6!�����'$�
������C���0���e��U���o��(8O@Z(����.~�?/F w���
:B�'��|�������}��s����PKQ�(�x����p���6T�F^ �:�O������y[�!v�F:)�?�:�PFgi�rJ�������S2#g^���\�H�b�\�
`��q�<����� E] d �~�L1�@��<q���������SZ�����
�#h=D���
�~Mk���qc���y�z������a�\��p�:��u�sq�ppZ1�z�:�q�
�*����z}]��Q�C�J���Y�f����e��>�P��M���KA>
���+�DL���v�&x�� �D#(�- ���t
����w^�u����A�l*4U�T �lp�9t��:��?��A����=�����}\*M
Ze�����AEKh���8jT����)4I��.����~����(Z��h ^��i@���%s�qh9�c���E��;3��:�
����}K�*{m�
��oE&
la<eux
X�<h���@��
�G����"��Hm��5G�pGO�
���{��Q%�^*����
��j���k�#g�o ���YT �B��V5=jVp���:��
I�������U���S�$�o���jZ9j<�
���R�"W�����<Qv��p�IQ�d��"�i���W�3�7a^P�0�@$)T@��A77��M�/�!�J �&c��B����zL���F���O4r���������X�
�f�[�Qz{ ��^{UM����!�E"����Z���������2r ���4��t19���D�g�y����:�����2[�2A
���z�8�-j\f
A��L� ���#6�c��4��T�54��Z��7
���Q�;��F�L��w�q����j��Svd�tG1&
�@��zj��$� p�S�)��r_�Y�?������u�Ja��
b�()���+
+s�M��������S|�RA�sVT@����7����)�,N���EF�q��$���jw.z��������
�����h 5���t�-YI�%$���)R�gAs����e+2� �+�#KO��7a����6S���3U-����i�����{�C����+qU\'�g�OW�q�,����]���\~���ed�
���@dQ���n������`��;��
���W��P'�J��K
h.j:�B����U��S�
zR�+�^+_�����5�+� Ie�)����O�}b,Gy�Z"�
��A����@J��oanI� ���/��{�V��u�A$�aFA
7,� ��7�0MPeb��L���B
E�b
O
���l�a���,��U8$��
���?Y�;��w�;�O�
��KAvFB��U��I
�=,�����D�l��*ph+��i�"��2����u������
q�
��r�c�^Bg�H]9!�F�YL��XyoF�
2E^�X���#�s�^�Y�&���%�d�u%LJ��~�����Z<����J�
+���e<����
�����#%}Nx7uw��?���M����.���!;{7 q�E�l��5�B�?��
&���;��F������j+�p(����&����tco
�cHD~iP�(�N8�BL�����v�������fP�����.��O{��
�
*g;:
W9�[��
��.� %�
1H�j��fZ�����XR}���p���;�}�!B��'
�H��
>��"�\yM����Tc+�M����m� ���m�/<����d��wssS�r��l��2!�f��\����
���
�G�y*j�����m_
�1�Y�������=�g�������
y�H
�2
(H�54%d�/g���>��H�OsX���!;J����-G�
�����h��R9���k�W{��~��;�;���
�O�J��:�(
�)�
q�� @p��hM��(������4�#v��=��g2
wR��8���L^k��<R^E��m�o�#��yT���gR��Uy
0��kAK�����lwY�����m�B<���>�Q���UT����;h$��
Cm�������$����>�leS�K�Mw�Y5� cR���D^m\�@�i�x��b��d�xRx�����
���2��i�� Y��1��eDE
��X������P��R��)�DL�& ����U�t|m��8VN/���U���f�����9S�"���E����q��L��>���IRI�wKx��'- ]n�G!A�4��J�)y�7��v��o�������
�fs��}�Y%�g�|��#�y^�����P�-�W�J�fm�Z��i�t��2���!�D_]r"����l(�����4fC���Y����` ��
���[{s�ts�
�����(�����+Y^�AC;�����=+C!*.W3��6�>���I�����_jhT_�
����7��M-\�����Q�t�v�)���������lt�51A�(�q?(��<*rl�{����a��l������
V�yV%����m��]�M��X��4@&O�L��<���E���0�(�C
H ���,� B/_:;�.�M
�
rT��r���'�Gns���������M,��2,}�
������f�:�hYi���;����9������w�s����d_n���
����U~0�|m73���uZ+�?+g�R�WR�c_�>bC,�� w��l+�d1��
z�m�������Cv^��3�^k�
����k8Kh�
r�8��gZ�m��V���2,����U|����6{�,O��X� �n ��s��T�<s?��U���
����<L�c�K�8�J�RrQ#�+����
p@��)�I
�[��E�,�d�..�Z�
!�m&dD��o�!����R����Y�Cnck�
�<7�x
dn}%pA�}b
�E\
�<4�5G�����U4�|�X<p��xt���S�k#���
����=o�~����^�m������s.��q�!�o����a4�
X*;:��b���h[�Y�+5
^�2�n�w6������GQ�(�ez�h�kB���>Z�@]v��&}<d��g��B���=J��_ ��� ��N�����:��<H��{�o�7�`�����
����
��"���x�����TRT�S��$��j'i�U�q��p���q��j��)Q4�������FX� �������10h�V�.��UD3�k6[\��J%)����m�����E)�fq��Q�YQ7���<�U@MWsA����T��}�[o}`2���Q6�J��{�Z���z_q��,�Ko#�L���a��M�
���"����������r��{��{��v �W�Z�
�!�[�!����-
������,�P"\���2�,l]i���J���?z���y��,�x�F������9��a�X���
�
�<�������^ a�7�t�&`9U���l� !u�������������V��Hu3�l&�M.����/�M��C)�"8��D�f����h������q�j
�� q\��
�`Ac����)?��"�������E��%��
t��/�C��}���lf�����g�r��
������������
����r��v^���Pz7�� �;N1�R������A�uw�����;���S��^<�����M�*��I.��j�w�j�w��`x����YP��D�����b:�
5�����EO�|�k������v��LX �1�pG�-B�>� U^���?�� 3����Q�iR��)X}�TU9�5������,-�.E��5-I��U
�IUH���fI3���o&z1���=N���~s&!�o���1Md3-���z1���Tu�eI�I3
9���F<(�"�}��{-��
>:�|\>��}nW��b
�@l�_{5���������!
�{($_L��%�
_{,�`�����<��?�
r-�b2
���L�:a���sv�U�������?Z��b�(������&��C��G,��'��~
-�i���MJ�d<=��[�H�~
�PoA�y
]�(���gp*��1���z��
5X�)a_<K:�ri'(�hpG�+��� 5��W��@)�u�B��
�e0�7s<M�&���j����m����
�#u�<�$��'H�i��'vw@|����]k<�j�k�?����a�/s����m��"�����8BhS��Dt
�8����B_���A>s��� e��~z\���m�����^a�n�24}��Wm����]t�G��v
B���H���*3�! ��2Dw�P���0��"J�6�_���l��
�x7-���#=Z�����%y�
�0f� �![ �?
.�J!�
@�S�V����H�2��n�P)y�0���e'����aHp����t���~��d�� �iS��������\cz���\|��:� ?Eh�qo�x6����\��t��9��T3���9��� 7��9g�W+�������4�3*,���*
]���}���%� ��s�����x>���������h>�w]
��{;(g}&8�������&�;��a����#52�T����=���C�����[� ����yD4�==L�����&� J�'/��[�}S�y��uu���������z����N��T�B^vq�(����g��@�XF���������T`f�ct� u�d ��`���!_������Qj_����;?n�
c��h�IN��k��U�wO
/�<#��K���S�+�%��
������x�^�����m�:�-�-W*�TQ��o���H<���t:��VP$��-b�������a��Y��!���������T��io��?���p
�� �kt �r5�
�#��8k�(r�F9��Tj3S
Y��(�g�5������G^�P��5[��)��O�D�@,k;[;�[w���
i7h�?���0002-common-squash-commit.patch.gzapplication/gzipDownload
���`�0002-common-squash-commit.patch��<ks�����_��^��%�����$��qR��um�M'��P$(��H�;n��~w�� >$�i��3�$�D����w�e��z4�Cs��4�L{w��
M����m[������=�F6;|v�C6�a��c����a�%�y���R�C��/���'c��������Y������2�]6�f��N��h�
�
=�z�6[�A�"
����1{w��r�{6���gV0������O�77i6766���~
������I���/L����[��d�� ���+��
g�v�,u��p����Z>�i�]w�YG�j�A��8��q���]���*@��M"#M\/.���n����q}�Km�'qb&���E&A���Y|m�����q�zv/�i] ��y�!�bfMM��.
����<J���[�6<c6�8~om��M�u
��1qf���i<����6��6G�M{�����Y6�����3l?|�b�~��p�o�e;;]`&��
� &|�d� �������F �At
��'�����%�������2�w������fb>��&{������< :
�$�o���pbX�m�W�6~���g@:w�#��
�D��h���P`�(��~<��Y
w�D$�����,�r���k�xjF�����`�i������9�����v�g�����hs{�(
u�I
�ZP��G(�����?��?������ {�~n������8�������7Ad��k��i�l����*U�=����L��n����e>���h�
X��fw8�E��\���Z���q���4��-���B��S�V�$��a$�x��$�S��yC�q/�
@W�����@����<�gfv\�� V��{�\1�b��z={��
s��l
I�������W�~I>���]0��~����7>�
�v
��l:��`�����@y�o���u�D��8��p
�����0q�r��
��~�<a�vx�
"�w&%��r �A
L����M@1��G�����!
��+�N��G�l�� ����4a-�-|v��q2����
�W^06=��_s/g`!��(H�l�����������/OO$�8!|V����u��u@R
��������>!�VBZI����c!�5���e �`�>�e`�f�.0�:pm�z�1]/�x
���Z3I"w�&���wI���
nv�&�b�~�i����X��
"��
���]���;�����#�V����
Lx�����_h7;���@��s6h~v���h���:x��`m!h]�~M]5$�GDQ���8o0����p�I
��
�����>p�C����#5�9�����E�'e��
8��H�05�����v}A���G
���4�~���A�uW|�(up�9���W�7�
�})~��f�{M#��T���E�
�6�0V�����
�)�����$4>M>��4c���Yk1W��4���A����O�i=-
E�(�l����K'/_/�
��M
�����
��|q%|� ��'���[&�u��k:`�
OE��&b0�H�Z�'0
!�?2�cI�1�w����{+mx�en����qZqb�.3� ���������9��w�Z�]��������`�
�
�r�6�Xb��"KV����~m� ��
M��M�
�bJYl���
�:-��9��U�1��
_����
c�"�ug��E<(2A���f�
I
b�TE�J�f�`_"���g��D.
�;����&��y-������
J��1�
��5r���3MT���0i�M��M�����xo"8�
V:
=2&����I�!X�
���x���9[o�������������f���� O
X��gT12�\v��M��
Ic��-#4�D�.�#�X
��i,8�����nM��
���5{����5��r
�x�'�
i�-sm�)�Q2x�J������=_4;)��)e%�����] ��=E����U
�h#��LF�!s��P8>�(����iOQ*�+�~j��<�z���X�G�1 }6)6�����>G�/�������
vn������yy)c�
��� `S�����~&�a��� ���
\�)�b��SLQ]�p#Dp�z�� ������k�Q�E������
A�����&�������2Z��m8�I��.j�1T?�_�����2��%�N�{��
S%-�.�s2��8��0
��e_`������RCP�@���
&,� ���
XQ�o���&�� ���)= N�
@!����UP�Zpt��$��yB���f������`zq.D
��5�Mu��#�Zk����72g
���h����
����q��R
a<�)Y
+�����D�����j���8�48:8�J�EuK�U���5H������w��~��q���{=B��^ ��\�
<5�$5=p�!�����8
��"��%+h� m�*DN�)�A�Bz��:gV�D���^� @`�Kv�+a���mC� +
J��
z
hA5��a4;�<C��������Jd;�-�n�SvI#����~��?ZP��B�447ce:�-��@
/���J����t�J��$Jy����e���<\����8YH[��i���Q~����|��+"v�C�dQSS����)��G�s�������B�+����/�<�g��<]E��f_���|�7�6���f9r���DS�f���3+�x
| h��)���g�}A $�L��xV��Bm�"a���D���v��"���vW
��S�Yf�L_x��7�4���u$
�v-�r��������J�u�V�����zn��s����y�'e
�`���P���I�
���@�>#�#�����X��>� k����a
3�p�
�� @���8��{>_'9�L���q���������&�U������:�%,����Q�-��u8���.���69
{��=���\22��GGN��7���E��Ex6S���-d���q+���qDL�������r ��R�[#���=���M��-����n��2� \������
�
��J����^y��h�0h�6��^8
��0�;&0��On+4>�-��oM}>�������[����"�/�#4�O�B��e9���70v�~�}�w���_/c�!�
A�{�}-��7)�gF������N�[�
�f������*�3�U�i��Q'(
|S~(�oN�Rb���J�� �)�����|x�D`�J 3� ����w
K�^��lPD����R�I�V�S"s`RN��O+[�j?
z�(��)�����I�$�1�_������s���M#h��%^�X��a�Al��$ Pt���^����p��"�,��3g����cBGe1�*���UYL�� B��\d
������V��!}������x�$��!y������ ������N�L�>[@��_R"�
����cE��
*TO�y}���o��0�K��b�J�
X�BQW�0U��:+[@�@!4�`E�Q�N�0��)��k':od�����3/�f�_��0W��qf��}1|���`�9��"lU���{o�U�UlU�h�c���Z�}��� �
��,nJ�ZTQ�hm�1�H�
C
Bh_eID����f��
W<V�<J���?gY��8�����������
kww�������J���n��\��N�aX��%��K:S�c�����QU���u:/��
�S�
��,�.������f`
J�i&q��E����$�B������]�)S� x��I��qb�M��t����`
�^0��K
�T�{���
G>U;���hV��Q��}�?�7�I���� d�R�����w�R��x�wlyQj!w���E4��tB��_�g���g����+�r��N�)�$ �s�����`8'��Q����><f+����
�g�x<����dn��/�@R(��(�����0�@!�����Kdh#
i
,���g
y�o_����T�#�����#�F�T
�J!*A��k7���E����V���t��K���.E/���S�B��S����$��g�*��X�"&����p�\!�)t��, �J�rk�x2
lVy�;ysl
����t�f�8>������{�0��}e�� ��#������G�#|�;� Av
��
3_yiO���'�l_�%��Y�"J�4�.��
��dt?��M�� �^�f�_~|CU��4)���m�@�hY<����Q8������L�c*A��E��t@����+���q �F+ ��%�:=
N�0�J=S^��
��D\���S�j�����=v�q�I|���q�D��!t���b�4G�V�~��
'���T�%e
��������G��
#�C=
���QxY���pV<�8�
��8���|���M��!T�%5�0,J�L�J��
�����A���U$�
�B�PX�)(g�`QN,_Km���P��HR*'w��=5M�P�]�����Rr#7���4���*DBZ
,9��QxZ���]r��8���U}
eoH�4�)�Y�Be �-
r
����{HT�����m*����s^W$��!���Z16%�_5��0[��~"��MY�(���KP��c��*1����){]#�t:����2��&�w�*���%*E�
�%U����9/�\v�J��`�k�����^���
��WB*��.�Y�X������\\BoY��3�����Mk*�%1?Q�u��
�yB����NV��Wk�� "�s���_�Q|y�R��m���e��LbQ��\��Z�jn�����
,5��e��Q���][/0�!#B��zaI�S`8 ��;�iQ�+��E:�7IA�V)]�~C��VC�$�\7W��W���<�"�7�a]��NV�Jq/�`����7h1Z>H
�}�����C��Gd���R�+n���T��I�[�U-]���_.�(���j�1�GC9n�����K��
�Y
Bf�B�Q���s�Xl�a^����L�!� ����I�D�"�"x
��`x���`��H��Ais�;�����Q���.������T��w�|�Z��t7a����UA8Q��u
����i���5����=Ul�5#��"��T
_��
K���X��� J93�)�*^���U��T-�a`�S�&�]����NaD�r+�`���l�W`,8�
�
@�u��Z��y�
B�?q�R����
���w�i�BH��
�|H� ��o�
�O ��nP(lH]K^3oHK'DV�Q���0c���rx��
:����a~:��(��� slL����5�@��Euc�V�����Q�3��-��k��e��rF�����]����uI@�W*�|�+9��Z����K�����7��%���������!�}~�����R��?q�g�o������.�/���bI�m�WH�VVmH�u����K w �)}�ceu�$?������r'@4 &�B& ����.��}�;
5����]���Y��%(JWqo&#:����i�~��)Y�/�B������8h�jjor`,'@��aWy�U���j��r\��W�����������V���2G�2!���f ���y�^TQq�V��[��J
p�����"ao)����>kk��.�"���'qKW�8�v��JGA������y
�"'�w,B��wY�Zkv'���
�
H�P���L�@�:�3�W������x���i����<���
1G�?� ��!�D���%���S$=R
�`Er|������.w]W�����F�Z,jYk�zx
I������ �%e8F����iW)H�%g!���a���@!N����E�9�K���P��#
+�
4$2���L�<��zZ��6d����d(��$X���������
Y3�������-y��������0(�YN�g�H���:l����}J�J���
'���B��G���m�����������g� ��bFl�j�
�b
�gr�2#D���
��-o6��7_%�����T�`�
a ��O�V�>� �+I���s^"K_���~�Kg�g���M9��h���C�c�Q ������v���eD�`�U
*��6�)����7�����7�n����1�����, �{t!#���S����]mo�6�
�
.X�s
[qm��i����@q[dC!�zi
�/���������Q�L�v�C
�|;
�#���� ��k��>Ci
��8#����,��5&h5@�K��rjAv�
��Ff�D3����D|}$��%�K�
b��{M��Q����D�T�0�r2BK6<��������U��B\N���i2�����n������� ���K�o7!^ek��S?!�c��
<��r�D�h���x�Cy������/��
�����������d��t����A9�U��-U�$+��J��f
P8��G��\�4 ��@�w9��B^
�������l�
]
����"p�=7��V�:��������p^��4:N-
��@�g ��P��xk+�OV
�-��$ t�s�X���^�.
z���8V�i��� ��}P�J�+�c/
�(���
� �g��rJ
�i�r K���IR|��)�3����H��� �O�QA���_���~`��Z����l6�
�r
�z+h)
��3��W�/6|\@3Ex���n�/
m}c�v!�8�-B�����'�}�Ee�a��,d�P���$;`��v ��=P$Oy����P0���
�����3�n���q�z=��{)�O<� ��P��r�L��q�������x�)z���5�6��5�XK[�jn6@
��u���A�"��=UUmol�"u�7 �f����Q'
�\�7.���t�G�����hB������������4OX�v�uR�0����0aK�y�{x^�+j��9�qk\���/�k\�4�����6�D��n�U^����������{b��c�y;^�@����:Z�k
����3��
aVQ ��1�!���M
(���R8
�Pt`�r��
3�=uz�#v��Z��������g6��Y�V��G�^���x��5=k�����s3#
m���N f���CY(��!h�5q�I*�$�&����=6�|t�����1���c��U� ��DaU���w����jo���d�=L�H#�
\�>)�/�I3���
�������ga�M��C���S�����f�W���U
��h�a���� N�b��A�h�����/�xq��@@��O��C���'F�t��>�d��
�(�����X�.|��(�%�9wDq��=�UV4�����l �� �v
dO��^��
�e _h��0�����7���t���
~��B4
��Q�$}�T[W�<<����`�� ������ !#V�ko~�*�#�,�,N3��%�+�}����d�c#���Mt�+��%�v����Q������g
�_��:$��zi�p�����v t{��� �.�����7 @���xK�s<��|:i/"_B�������D�.���Z��V������9��p��0006-test-squash-commit.patch.gzapplication/gzipDownload
���`�0006-test-squash-commit.patch���k�n�u� ~���JE2"V\�"�
�,��.�-����
B���e����,�?��'��M�)��-��9{��Zq�s����/~�i�����\!�
��~K
}����|�����q}�7���� �_~��S?8��S
!~�g|�>��_�jn~�g���������?���}��{��������o�>��W�O>�������" ��������J_��W����� |�?���?��������}�f����������i��g?���/���w��������� ��o�����?�����������;��[��G?�����w>~��;�5���_~������������/�������o��w|����_����� ��_�t�������M~�*����Z*��� ����G��o��_�w���������~������_�o����=��k�O����?�m5����w���������?����?��������������?}�������?�W��W������1"��|���~�������Y��W����7��~��� ���/�O��7������}����W�����������)�_?����/>a�<?_���W{���X����������_���?�� ����}?}����O���m��o��_�|���������V���6�[Z�)|�!��5���y_�d�����_|�n,R?}��
�'����Y��?����/~���W_�t�/�����������O1�O��������?�w?���?�r��O_���j���/���O�/��g�X�r1�������o�� �����������������/y���������O?���<��/�������?� ��o��������?������������������;����.}���sV�
���}��q$�������_w���_�w�eu����o��O��4~�������W����/�O_������c�A
�����O���~��7���������/�Wx����_�}_����_}��O��>���������?�� ���~��`�?�����������j�%~�{�)����������{{��o�N����O
7��}\����js��m�������������{���/8�?9���������Z~������������������w~�w?_�sU>�����{�?����3s��O���2�|������U���G�����������b�?��}���7c�����g
]������������G��
,���s���w�c��� ���R��Jg������������m��/p���6�O2���w�����?�'����/���o~���<o�:����+���`���=����w��}��Z�}���^o����7�
���������������������|��_|�C��u��'>��?��O�O?�����'}�_���=e������O�Q���>N���'����~��7K��?�7�:j
i��WJ���Pr�7��������������s 1�\��N�0f����������[w������y�'�����y�9�z�Xcl�^���j����������O�S�?��������w�����?���l������~����9<���&}�_�������������V�oXW��9�<�
G��{?!~���q�]W�����={L�}�(u�5Smi\��s^����
z����ck���������+���"��o���&>i�y�;�:�|���<�g�2�����������
�
�N���3c(��[�w�{?��7��k*/�+�FJ����p�O|s�O������sn������|\����+�k����>��P����~�5g�!� c���'���g��!����8i�yq��������x�}���=��k<�J7��fY�*-�V����?p�
���r��K�s����_\k9��K�!�5+�5�������{=l] ����!��j��M-�'�>����E�����*'��Bx����x���u�-�]�7��s��7����Y��
^���������+�}���RC�������u��K��%���R����}G���j%�{�w���6����_c_���</_z���8��z}��q�1��W�����Y�������Y{�=��5x�'\}�R��������x�k����;89�Oa
������I;�'�|����_^8F�z���>�=c�x�ZWo�z���;���"��F�cp�9j�/r�R��t��{l3���wvv��\,~�����3�D�3^8��z���xY���q���6�Z�������`WW �VV�uvr�u��XV+��������z%��,������=�L������
mG������9����Wj��y��i���^l���������Q���1�-��z����w�m_am����������\���
'x`m��c�d�
�j6f�o��*#���#^;D�5E��3�����h|[)m���������x~���k�"����>
s4����=�[/�����^��w���~{��a�o�
���������R���*�c��
���,s_s?��{��ykm���vo|��_���� ���w���4+���=�'�>���\|y�
��|?{vE�x��{��|h�W�R�n�1gs�k�1�co���������p,H�B���
�|�����
�
F��3m����#/�Bho�����`_g��i
�z���s$�+��������8g��A,)�����f�y{�n��K�#��+��`�8��S�
9
�h<<�����b����h������3���!<x�qG�%�]��P4�9/Q
�,���Y\1���Yp���I��'T��[o�wk|*����� >�]�`�������6j~������
�����%)�$
�X���h{sX97}<|k:�
�5�"�[rO��86.�������`vp N����]���{��6�M[����ac���y�
�����
��
��5���M8?���^�=������N
�#��; p����k�*�����o��s-P���7h
'��Y�w�Nd�1,x������
�5s
�����������h�+��\|LiXp�����A��}@k<%�anP��]��6��|9n��t.�*.
w����#s�1~�#���hN��]\��v��L:+0W����j���f��#�a�3�*e��f����4xeF�;����51&��F{�J�:����n!��u�h��sa�����c�������K��� ?�d��
�����l6H
\K�����b��Q~�z ���]q�Q�Sq[{�����,X�����3\H�x���3s/Y
��b.
8n�V�N-����\0
�2H�3�>_266|nY�������=3'f<wm�7�
[
n���#��� L��p��<
_>R~��
3����7�{s�2�e���p���
7`�?�|px
��g���'�������]x5�tP0w�������;G{��s�/�
������t� =��/�w�X�{�r��`�������R/1�|�xr��O���M�vw�t���5���]m!�����=/@q
BR�����/��ig>����]@��Y��<�?08T�����}��$V��`�|���h�� N,��l�������J{m��@ ,Ww�W������S���c���{�����+�:�v�Vc �}��_���y��`��
w;�!��z�4K[���F���s��c
���������uo�pn����f ����:
�-�.���k�g.6�J��=6� ��{�yv�G�(Vqc �F�3Sp�`H�7��q���W��b��x�\�[YD�OM���q���w�;b>o��G^�%�
�&������_^
�(��s���.�Z�h��4+�ox�5�p#����������l6���$�����q��qXo��4�,���P��fOI7����(
�@��/qIG�����JqL�s�#���vcZ�s���X�k�Qq#��;]�
��y�������`(�@�����!Dk ����DG
�E0���_� ���`�r�f�M?=���e�:
�`��nb!=1[Z���On>f.sU��xvV�+��i����#�/��U��c�@
���/�m�PH���
�W����;N�}�W������������ �O&���������F���C��H��V31('������ �e���*��Y��6��>c~�<6��M �������|���1�X}D\�~��7�D��Y3~�eC
!/@D�
;a�>����
�=`�:I\v�[������
B��a.�!4�
�M�
���
HWft�8k��qh�
�������'��yRU����u}A��H>v6�0P1��t���(�#��p������I��x
8QD6+�������=�j��p�����5�|�7��%���������nP:�B�B�l@��?�(��@�E�5�CD�$�>+���8!5���>[����8@K
���L�����9��
PX���?
0������d�����FyJ�>���7�A��D��
a"���.W�"�
������Z^w��r���L����^[�K��c+qX���Qx3|4!���j`"�
/��D3o���������|��
<��9��LX�*|h=�qZI7g�aG�����X���N�N
��K���@��#���',o� ��T�-�+����k���a��t�qn�O��&QCj|����G��<@,�p4��
�O���K�,����+�����2v�v��@q���|~������Z���3 �mY�|��������S�Nb��0H�Q���3,v����m:���4O�����ou�6��z\V�!�\��w=��[�re "0B(n1��6� ~�`�[������&�� ����Msr}�<��g�o|�
��P
},G9~��Q���������F�BT{�
��f�8�8�����"0I,nJ�M����o0���sb���C�A�����#K�J�;{�
���Y����'�T�J4q��'�q�oJ���o~��w�����-�����
�@]
�4�i�L�Ph
c93K�i$\��t� V��nm�a8Q��K
J�Qt���(9��Z� ��ws�s�@bn��1��fg��a ,S�\l�*��o���B���w�^
��{\^�"L#����+c�
�f��tX��##�r�[X tS ��
iD�x��(�qk��18��c������������p0Naq8w8 ��L,�q��`%g+�N'.;1!K���dH� 2�*�����&�zxv������4�@�2l�E�P��9&�������x��N>���&.�����������f<��9c��3�ro�
�����m������O��8��D�S�07h&�l(���������
/�4�����$�i�00�n��[q5������eI��<��X����
��
_�K.?(�� �Ln�O��U��]/{�#�"� l`
�3�9���
���?`!7��u�� �M���!xbc �'�g��>v�`#��kB ���ut��
����F�� ��P��J-X����3M��5�
��+�
?�P�����!�"q�*�M�I���
���)�k^,%'�z�����0���� ��C�D3�������\p6k���!��b��c��1YlT����`�����2i/������"b��A��L��$�z9+�� ���; ���� �gq��x�F���WM|���
T-�.�9����?��
w�������>�r^�
#a�' ���K#�#�yw��
sdS�F������g��I��em
,����op�3�����
V�&�'At���P����+����b2��o�6������p�
ya�
��H�B�s��#�]y{��
c��
��q5M�~\���: �g�Lt�ps�p�?��D�t��L��8��U��&Q��E�k�{(��s�D(�A"Gc=�3�
�bbo��s�#;������^��A+
��,�
���(Q������&V|�
6�5��)��9n�$��4 8��j�����-$������0��`���e>�8*��u*�H�����^\"�T^�y���e
�Z\�\>]V./����\ e~ �����39��
M�����N��O���O�9���._0�%��� ��-n@�6p���hu]�b�����
���59�Q�M
`Wf�0�
:]H��F��
C� ����#�3D���g����
�F��!���N�^��#wN��e%4����w6-b�����7�9#��� �%�e�k���c�����x>�#�p1W���YU
��6�����C03� apj����S��
A�
Oi\ 8x���]
W�0����
4�*p=q��H�?P\���
ab��-�_���Wx����}/�_�������Dl>w��J�
0k1�W��2��1����rh9��������e���O��=������
s��1&X4�<�������������j�~XA�����k����0�m���y�6�`?��������B��
H6�d�������@�N���������8��7�zB��M
qfo
������mA�k�����R��Y?������]�9�����Y�P!��L
>��V�>X�9��D���l[�U��u5�:@����|6�J���"T����2X������m�
�~A�U�9�
���X�����;���F���I�G0NI=X��l�n�Z���f�K,�*�7����_�qj\��_����[��7 # T�'���9��t�y��h�
����
4)`�JX<�H�kw�
��e?���r�����
X
�)Y�*�z�+Y
@�� F<W��#1o�/B�^���1^8`� hi�Xa�L�����������D
�����Tbr�8�k�Y�m�B���;�
�
~/6��\N�^��r���{�
,��(r9�l-���K@kbsv"pg���`�r ���B0���):N ��C��M�N
~(@��
"���s��h�7MB��k���4+�1{~V�!���``���` �����j�Y��b����������i�
�����g6�����8�] K��P�NXk�8q������b))��
y?v����u�5j�o�;�����<
�B�H��#Y��F���.6��
$�]�X��wWsE<�w�Fj�+��Ot�p6����Vo �#N�u��1fN�<>:z��a�X�w
a�Ex��?ZJ n���������.[+\��?�}���
[�s��3E�CK�{[��v��h�o�
�hA�����X/ ��>�����
�jZS��
�@��P����'c����= !a�����y����x�f�pQ�#���W� P7����o���'�`������d�b��S���U��Q�2.Q%���e�vcMqs
��/��&$
H��f�M�q'�>�&����s��sb'�g{��0��0�|
;w�*<��tm��O�?����Fe��/�,��I[��!���u�l��K6.K,0��g�� �G��9���Yg�H {��k��e^���@�J
�Ot��|�����
/;�� �H�A�
����D��������_b����e������ ��DPA���x����T��5�FF�����(A�{c7�n�������_W����'k�"V����x�i��,3��Mn
�u[��&����:�uL"u�}��6�o
s��/
!
f��D����Y�.�\��x�n�<�;q�� 6-��f���N�QAI
�vw����x�C��(@��Y�YuDfy1�������������i������i1�
6�|��/ZOi��N�
����J�u[����wk�F������a,H�F8���&��v���`���l"1�.����w
=�g���"HU��M���y�
@P-����X8�����E
!p��y������`)GSTi?yv���8�T_N3�
���Fu�X��@[����w��M�wM������l
�H���=�����}�y=����~��������x���f�_�{3/��Ol�
o
�gO���/�o�o@������wa9��6LK����v@�YT p��rNj~���u�
�k������6� ^����f���P� ����b
6a�At�}yQ{Y�n1y�����]V�@���������
`2�
�
�>���#y�M$�� ��
��?��=1gXo[
G�,��}`{�v/�� +�pK�d�����������**��m���p��kr���T*�����A���c�������_�� �m�">0q�1�~�)v
�}-��2q_�[��h���3�iY� x:�4-J$��'o�i��@�����b�FS��tB\T"���������AU;�� (�Y�W
S��lD<&�0"����06oy���
��#�2�5�.&�`y� �e]���<�x�����)��`����
LQ��v^@S�yc�V�M��_ s= a���\/h~�$�2�a�Dka=K
6���aY9K��5������
{�/���_��������3�bA
�y����bKD����Gp�eq����1b�18xS���-�Z���E�
V
��;u��+������F�J�6��DI��W�^�e���H�j�
(� �J(�;��a����
X�
���0��m��a4������
IP����{m�^��������M8�m����S��{�|`�6��r����x}����_�� u�_�I�^�9�u3������.�P��m_4��*���%
7
q�l�W�KG�#`����h�j
xn^�a�{���Z�,h��u�f�B��8���J�{X)��G��8�n6�
��~Fd7�|�/�L@����x�5�����$,����9��Bxn���?���%�TP��
�}b
v����6P��y�m��\a�2/�[����j%����D��:[�&�C�d{P�K"$�����yT">n
g�H���p�R�?E�PD{��
�#��
XCPi���2,����<�o��Vb��U��X��7�:���jGR7��o[����c����e������
����HTg0�����e��U`�t>�l����wK60��]l�jYD����tx�4�����XG��0�t�DW6������p�;�=�
v��C
�%'�I���7q<��K33�n
������R�d}���&yO �
IH���4���$�^ff����L����������Q8��j��
5+X�
g�lh�_�[q[�%�p5��|L"��:K
�?>�^ ��<�|�6��c�'�<����v��D���������Tu�5o�����b����$��,r[��9�h&rq��k����~�zJ���
�2�0���g77���L���$_�[�}������$��\o���+�M���n��iV+�5��������
�=���8�Z��U[��x�zR5-�(��k��� x���/�1��'3]�-�2�Vp���X�`�#h�: X�
�
��8
��i��!�3
�lk�xK
��$ �,�v ��\���[_�|!�/��3n���3�K�I�X�&\��k6� Zo��7��'@�Q
���
�1
�j��� ��x���vo�3�)���g]�P��������su��>��w����j�TG�Z�`^M-m��iS�
#����d����tJ)�b�A �9�%���5r��U���������x����3�����l'r2W"���[�=m���7��S�k������
��
��1��!P'�=v�J� ����+����t
XN�{Z?8,K�$���>N�-�O��� �?7��}�<9�C[�\;^��������e�0������q�-_<���Y�B�
�������4��\��v�r�f��A���&{n����2�
�a����= ����z��)��= ������a����;�]|�h8��z�.�"�;��m=j@��f����
y�
��B4Wl��S�
����D���n0��P,8����.q>����L
����C`�A��7���
i�d�U�h4�+�3��W.��v}V+���=������${�9�lz�,�<�����k�z�k<�\�T��>�l �DbN��n
XR11��`_���{ce��a'+
����&@;���c
?y�@���,�z1��)�����l��
����y��8'm^�"�
����o��m�
+����tN��P�D�.�(�q�~�5c1_��,
�~����bm��]U���\!pq�6O��������k+66���YpCb�'�v:[3@���`���V,9� �m���E1���Z���b�G�p�N����������
�&X�U�
�,��Q<�r�}�R������h��pah���O���;]XS���Zl�
�_5��
h������Q��]����� }�a16�����%=�%���8�D�5;�����7b��`�a87CL��U�0y��)�8���x/��<F���5���s[�8�X���9�Wg
q�
1>�/\]�����q,+�].�Xd�@��g���5v�:��>b���-Y���!��
.��
�v�����
:����v�#f�_q���������1��|%����\�S�8�����t��v���d��� ��N\�����d��\�^
^����Z�|
�u���-����dL�Z;=�k�����0���_bI@L
���� u��~�
� �
|��9k~X���!�k��+�XBSx��B�5����o����m�-�;La/����=���N�8Nk����K42q.��!���K������j�����^��S�o.��l��a��P���I�n�-�B�cF>�<B���b�>�0�Tf����v�,z�d�w���K��k�8��~h�
_���A�N�������qy���
.x���pUp�
�Lm���GU��\��Vo�
�a�F25Z��9w���m��G'h �VLN�
�%���uH|�J(t `�
\ ,z����X�qZ��q��}��p�
@c�
H�S�L��L�9�d8Z
��jn�X $���]�k����~�����D%���5M�B�����g��?r��=KpW�&�y���9C%-r�A{������� ��Z7A��
�5�C3Z���RcH��_l�� ��<f�
��tpD����*�+���M�&�1l�������)�E��`���/�r�l��8�$\��#�
7���>L�,��x�NY�u��X��u�x���iF0���
6����A���9`�,��j�c��� �$�r���`���`w/lV��yt ��w[�z�M;@�X����<
9�k�0��<�=?�F1/�������qkSYOQ{���Z���Vr����+D,3�������X�p4����j��O������*Q$(��NT�K���A!��o0�7Xe��q��rXRbG�����qm,W���`��T��pq��M�I
EF&]<{O8������cL����������
�{���~�6��`�_+c\��9���g�]rS~ t_"���#<
aY�{�������� 1�(��Zxl�k�q�Mhpc
�P������@!nd4�aW��}y���;������[4�Z�q�+~�Mu�Y��]��~�m��L������I����`<�4���d|cj9��j�2L�b]���x�W���l�$Ry% �������O���8�������{�vs2������"�XZs�DW�'^g�q�������P��p �,���������Z^��kE{���
2�J���-h�0h����F��!�����N���K�4��b�l��
������8X�g
���>�Y
������\��
��Tc:���r���xk�]g�a��a�q-�?s���ra�}u,���)�-��|z�:�g��d�+����������(��ZYKF��A�e}��@4��
1�9z�$xm����o6�&�t���{���2`p��8Q\���g-y���L����/lds��j��V�- ��XXt
�
6y�F������V���{��z���zK�e��p�C����3�n�)ywo���[���#�#�������R�L O�v�F�����,�8e0��z.�j�6��m����^f[D�������z
�N�t�9X����E�-�q�q���E�����Vy���
������A ����� �.��1�O�-�;��_�P��Xgw?���c���
�i�'8����d����/�0�� bL0<7��}�
0Pa�3|%� #���
�q[��lq�;h�
�.;P���)p$S�R���&�c8x2>4�����}v���[�s�R�D��WY,���}91����N�xV�p����F]�k��
� ��-�������� Y�A���������!�,�#�N���e
.�wIGsE��� C
�u^3����|��Z����$�p��u� <���h����&@!Pgs�>���%�r����
�� 2���{���w0�a��I�"]���'j��������U������u
p�j��v�B�x9��%�}�?s0�I��������d����������L�������Gl��e���M��LL<[pU��R�%����M�n�Z�e$���8a��E
�����`��0�x"GS�5-���)@r�M^[�\�\�������]L���v�8�g�9d��X�r�Tk0tB]:��>-'����������9.v��!�?T�g{�
v?�/o���y���r�3g{\��@"3��c�?�
�:��by3��#�t�&�f����
�����Dd�U/v��I�$��o3����8$���h��}���l}��N��L���E6@�������c%:���fC�);
��
_�g�d��`'�`[��!A��_�8
,
Y���x��{�m�
$�m|�a��H<���1
����'�KB5��!�Y8`ov�����q�J0�#d�
�e����Ad�Y��r������~�hk�������=���l���x:���R6?r �vfLy0{r�k��(Cal��r
@H�'��
6c���l�3q!��P6�
��$7�e�VK� ���o��]�42�]]
|}�)���/��.����b
����
����Q�l}���k�w����I
��7U���Db��0��H�f���P3�V����E|�S��dx�g�����
bM��X���N�o�������'���esX���v�
9��@�����q3�b?�mc0������d*��|mu��������0��u��8��V��yX�&] v-�o8oH���3�
��V����?$��?�)R��u���d�V4�4��@9
��if ���f;�i��I���|��������_��T������dci��rO�
r��[�-N
��.����
I����C�l�%,��F��:Pq
������sE9e8��4�= b���z}��;v����
��/�`1�h8��E�bn�{����L���<V#.�����` �
��|��#����)�$�'v��B��LO�i�W����
�@���Q����r$+�x���c�P
7x�ra��k�������B��aT}�����63�������7`�7;����l.7I�3.��
��{�}35��L�p�
�*��Nn2��`������I�V�K��;<�t+%��[s
��g�������
�`���{ ��r�7��
����
�eWN�V.\��b^�s4��k�b���~���N�g���yk����#fK@���p�
{������Cb��6��Y���b�V�R�8�����D�v&�f��p�Zn�v�bx3���S�X��Q��oi6�
�ih���=�Q����*��������{I;����2c��k��#c��� 28-
���=��3���i-��`�.��
��x��Y�����
[�5 UF6]������[*�
�c�X����D�w�8��,�U��v���M���}2�n7��FD�R�� -��3�p��$8��c��
�s]��cG��|�2����
�%����G������c^g�1�
�k
��ays{
��<N1
Fw�?BDx�h�"?�q��}������K��9F|WbN���-~:�/
�C�{��8nXk ���Gs�"�H
+6<xR��TYN�(��D����l8
U�St�X�C�f<
�Ahn�;m���z�p���I4��vs}�:D��
YB��� n"�}�
=v:�$���
X<k!��������I���v��!{��C7P�3����/l�����!vY�9(������{I��N��1
�q��w?���$��!����H����]R�<� �e�X�C�-�o�C�L
��b�p
���8��l�*`�t����Vv�����uI8�l��I$���a
�RM�.��@��""D",&�1���
��NuVGa��zUl1��-�d��i�`�%d^�X����.wt����02���:
:\A?���9^��:YY'��g�a���v����O����m�
���+k��`
B2�A��.������
�C���
vG^
������rr�6�7Ejm;�4�
`��s��f��L����t�ZS;�u���Q�,����, �2�"�/
����dOQ�E��tL�;������ �C����p�|=�H�����>8w�Y�_N����r.Z"Y3��G[�X�y����va����-���hI�� -sO�5�����%�G-*�f��>�:�@]�����_����
�P#c �$f_�u�e�������%:��O-��*��>��
��'
�m�f�y��M.&"��\� �I��"�
�@
��X�`�T�m .G�"�0�i
����@��!tD5�X�
���B�D������k�Z&>�4�
/xN>G'�>��
� ��VfX���0���,��������� �} {q0�����P&�c:c/��5��L`k�KBa���U�_8�2����Sd�A������D�U�I��B����
&��
��J �
����{��X�
+��K\���Wl�
�~�jX}{!�� f�����i�&/.N~����
��x���SU���l����I�l1H�����-������hdC#ro��0��~����Pfqo
�n\� ������0���{0�7�����(K��pL��
�"�6���ri���0��,�@4� I��9��|��0������[ i53�5Xs2��=R��V��f���2��1��������p�q������i�%�p^s)�>����rbgL��A0g�J�r����|�h=�['�s�a���#>� �
9����,���U ���N��(,�d���wY��fa�1���`����=x&��*KC[��[N��BEz���Y
��tQr^'y�dV?|�"
y��
v��!�6�6d N���?&���Y�P�
��mQ����b5��4a!
�5������-`(��_
��s,��q)$��2g��
���
�k%o��=S]'����5G �id���E|q�s��a��AN�)�Vqr
S����b���n�k�f]��` ��S)�rIra�b�)�B���'�����}�8$�.^
����L�3���=���B���~V$:�a"������r'3����"���C�%���L87Q�D �/��p�-�_I����K�����lK�Sh�
�������n��} �
#�D�@!�gp��qz~ �x���$N��A�*4{M����
���H+��~L��#��v(���m[bv�^��!^o��D���dH
�����t
���! ���� �k���Gp�P�2�O,���v����y��J[ ��y��!��5������bL{5���w��#o�"�����8T������?^+l��
�>8\x��Q����Sz��su��V@��hpl�aD��@
�����~+a�8��
��
�g>��i���U�
E�.���0��/�v:ig����\�G�C��Q�����Fl���zqY��!`���e9$��%]������|�~/v�Hr������*@&YP}����K�3�&�Ea��e�/9i���E�kV������"`�7x����_�]6
��1�3�gI.I�K��LMAN9p���
�x�3
R�$�2��q�-6Y��������x(���M7�j��m�`$U�LHq�t��DL�����aG�f�X�q��}���?fm�t��t=�����qm����lZ��*��M_/��kw�l]��9������r�h �����QL2�cn���p/Gz�t�<l�iqV���ZMbW��(�,K��"|Vp
��E�S�I������&�X�qUq>����p��&n
�Y�����a
R1�\
�_�0M��w��a9)�.��y�_w�-��3\���K�
��^g���AS�`�m�M61Y��>��i��Q���(`����
9�Y0+���=�8��?�\��p������
�Ce
B��;��Z�{ �����U~n���D�6�|lk������pCj�*6he�]�B��_
,90`z�A�J|��� �)��k_�H��.��4���X��Z5�h�
�=��\��*~�0�dKh$Y��+������3�m�N�����go�BG*v�5g ~&��:��D,"��uuL�x������W���+�r��FI�p�l3^�P$?EP���ZI5�� :���������_�m6U��$�����dX�r�8����p��q��T$���j
$<����p!��0rm
�9>��e
���owL�H� ����=2Q�3i�,�t���'����J
�%9?
��
Uf
{" �{��@��%G������By�x�X��� +
���Mr�kn��a��}�//��LR
��Y*���X��v,��H �1���` �5-������Y�
)�R��|�u?j�����%��
OcI
U�
N��|�e?���������ky`1�6�[� ��Q�XK���^v������i�: �x0�e�B/�`'�}�v������q�����
�KK�����7�l��n��
P��
�y
��.;�J{� ���;��/Y"6U"��m|�tH��8�w79����6��
%w�8�!
.
���\i��
��A��}��`9�)AR�[�v����F�L����l�I��I ��h%?T�� ������x`�-;#��]����+2�N�
�*��WZ��K: S�!6��d����'��`�9��:�
����'u��p���-J�q7���%��e%���������2W��5���H����
�Z���h��3�T�l��
O�?�%�3�w��H=1$��d�� !dgO�4
�
�:���<l��b�9p��>Q����`J��m�����a�^A,�6
L��l���c� �G��b���=yH���4���~�|��b�N
���A5�(�����L�n�{�
�$H��>�V�%'�v�|������N�%�q�j�H��XMp��:f��dg(�lv�c����A6�M6��X�R���N\��P
���@7�t:����q����a~-�
�VZM���\��� �r�*V!)q/��TzA��z��C��"N��A���z�;5`�Dr%��Vbn
x7
�m�� �z�v^S�
����^rN���M���%�A�$i�W.��<�{�C��:x�8L�cp��z<����u,�e�2LP$���B^P��������7|��`������A��]���N*Y������������%sLd����~s���5�gP�����]��a�1��L
-�C�����@1�������o�N�?�������lO�����q�\���x7�tpb�%ak����Lj��#���$^�p���p���+ �� �d�F���M�1L��lZt��F�Wq
���|�vAs69����e��a�"�`s|9���l[��}�
�� �M�M���v)Jf
w�rh���^,wc�F��:/'$���
���:�
�m��%�m�Fc8Y�n!��9��k
rZ���k��O�� $��=���P����
cc@,(�e1�����������v�b>�VOM��/���
�K=���p�Pd
)r�}L�DH��1/X�7_6��&�w
�"�>#yoc���X(���8X&1���&�{5�3����V���'��y��8�y��6�a�m���,x��C�_�&��Y
� ����kON��@O�
���
��e�6���Ge��#xWj
�C(ei�!��N
��Ab
�B����������, 8���um\�KM
�qn�R+.��m st������ ����m"X�
d
��G�Xu�Z��������q�?���q��;�]�]�=��=�2�/�I���i��
��&����aw�&�`uA{ �h��W�-<���w�p��R����a�Q
��{�8X�c)�g,X$%*\�q)u���i�2 T�������X��m��
#�V��
Z��
k���
#���N�G���P��'�5���ho>��a��3�<Nxm/�C����K�W���t>IR�y�A���J��l6����u�����aE���x6Kc�7�u�N�� M�;�Rr�tI5�����"��Q
u��`|.�[�|ld�<%�AC"��58'�o��c��l2�k��;����� ��@m
��������ct�CD~&*
�2��R�s��*�Z�
m���x��XG��jS���0+N
q1�f���2�H�@8�\�t��le')�v}��%�{�q�L����
7q$n�%��S7#z�D��
�Y����|�(6�`�b������
�x�|���m{ ^�22>�^�$ �Z!U�{+=�JyM����:.J�Q��p'�rZ`V�T���$V�D���g�h������G\���� R u�xNA/%���2�
g��y
9��7kh2���5�,��)
{Y{����_���.����>������Q��<�N5����U2G#4���
�M�ejV3P����\f�@�,�?x����9
���-K��8����8�
c����b��Y�:�����}+_�6+7�+
%��n������h'�����
�V�����
��{Xt���-e�c��k%D��K���5�I����A8�
�R�$���q&��{�3��3���W�9�Eq����_�z��L�N���)Uj(���k���CD�x<�
�'�����<W(��g
�2�c��rKU��ZS ��Uv��X������� �&?��
W�XGi�
1����i�~u���g����K�H�3v����P
���6�<lI�/����;���%I��I����� �\+�;�QTiz���v�)]l�gQ�7Z5yl�g����?��<��K���p��%�f���1*GS�5�b��Z���8��7�fe����@�1e����n�q�g�8�-3����K��
�,E�@��vr��I��@Y
b,�w���"��h�����d!+r��Y�P9�6��Vg����8��Yg����]�
�*��~9<��f]���8X����m��g
rqL��P���p�e=
6�p����r0�����=G�c{�y�(���������rB;���eq���KlSCU0��s�_w��e��&8����#�e�{n���dw�4=�DIz?X�NG�u��+������������iS��r�k�E
X���B��
� �������Q()WZ�u�
�����bp3���
.�z��$�|U�!��r�8���������Xy]�"�
����#�fl
�\���z�gP�)94$��`��f�'
$�_��N�����ev��s�.4��\M���fa������� �����J�����5{'[��������s���^���v;>��*��ND�<��8w�������>2����{~Nx/=������Ck> ��==�9�AjN;
�7H~!u=��.J�kUCZ,�����H�T6����c
��������:�%*��rF8�-M�
p�:D����CA���!!]�L����[J�������Pi�0��f<�,og��>\�A4�s&�
���y������<p���(��
g����b���|�V���D/�=;�T�4??[
�/���b=V;��j�>������FB��|���.y+���3��sg�OE)� �����}�0��F��r�`�^sJ��[��_�/O+�������G�
�6���mNYk�r*�Z�<�F�-Ye��H������v
�/�}��>��]f/���^]#�leI������5����>L��J���)�"q����ZW�5��Y�=�����,c�>,4�u��b6c96��(QF�A��
����i�8��MF#L�� �/���:|���xQ��*8ac����" I�
��p���yRh
5�
_ 2P���TC�X(�
�`���t���/>�YQ�(������`Au�� ����*V6���_W���X;��k+��!������2��Z�b 3���sW(
� ���z;
�k��$�3�t�����t9�������g��z�p��N��9�I�H�$j\b����h�<�8Oe��.����j
���?Ku��qk����&����
�
��
�����/���'I��x�!��s|�/6
X�(�++�4�j���I���c-��
����eH2;H1��(�o���
T1
{?���K1GP��������Ug�3L
1?}�./��9���e��mV��+DPc��A���'F��*��G�_�9Qe��u���T'cI��
ix,
2~�}�k
����V�I�����Al�&�"���//���>��z���"���U�W����i/]��
aL�
"\r���l5X%E[�<�f���*��M��'���&l� b�U:|>d8�i ��n)� %,fN���#2<���+��w<M��+M�Ac��'�`����J;� �Jl=����
�����o�`�N�S��,��V!�U�Gv��r��p��se��
���<�#Er���^��l�� ��n����^U���D�ZY���'��
������n��B�DP���n�8�5�,�(s(��ea��'T������oi���7�3�~���\
�2�S����b�^Pd�x��(�.6�OL[e��
��e<��!V4K'T�``Z�59$�A]R�\i�mL�y��s���n��2�l���+�0���k����TOS��}������� ����*6�
����N�>[8��������UC�b����� (nv�I[uu���eJ�(�
��N��g�A�����
�eU��n��� �����W}Q��0�|�����v?]�1��+���w�&q�����>t;��I��23#��s���
]��m
�r��&x��i=��I�>`!.�|{��a {�'}�����;+k��O�g�3��]N���p
l�|����?���
��o����2a��t%e��(�
���m����z8.�[� .�I*n��K���0����f���hl��6#��i
�*���)�a�t��D���M6����h�A��~���G
���^�S�����6���&\bW�s�3?������pL�)�{�+�D�D��>��z��X��[A������M�����A�*���O���tiq�~�����)M.���R��#cn� ��=n��9V%��Yo�� l�P���G����}���09��,X�����7�%T!�lD9�
q�U�d���,���U������[y>n�N��)�Y�-����
�
�III�d\ r�e�#��Z�~���"�r_T
�_o���)u6����G�&��p�I�8�Rpu�{���6���c��
�^\�5yyS�["�K�
��AL����J
H�+J��9sf[-����zx��
r;����r�Yh�/'�T?g�������D�+;��,Ip ������g�
$��zJm,�E,��z��C����gm��gY�R7-����K�
p�RdV�
p���r5�+n#(�V�
�S�gp���)������pB�`�����'C8���
���
�d8Ub���J������~To!$ t
;���!���d����u2a��Ns4��@F�k
[���3~i+7�[A�c�����fn���Y
;+M�l?
����jm~{u
>b�
�O���9b2�J�\��U*=��QM����&=�u��q��lq�UAr,S�gj�8l��v�T������x�����Em�������r�1��71$]�$Gzs
09\f����4M9�X�
�2�9.I�-4�x$��&Y��w�;��"[:���|UV��x���E���
����s|���8�;�\�F�����v8M��-!eh����#��]
)T
��Xs~acV@���bi��D����
[�Ae�����D��Ri[���fQ��.*�>8�8T �NN��2�Tc5��<���K��27���ri��D�� ���
���yg��� ��
>H�P'���$h��B1
<^�P!I���,�G��B$��#lc�x+Y8�i�]���������=�Q[d�
e�q�l�$0�G���2��U��� ��G��L������s��j�*8�������K����L���
�
�������UM���l��������5��;�E~�+�T��T��C�y��E~��CY�b<�eA�e
fb[���0'BuVbm�"L�_���b���IT�sB��c!�]8*���n��
�K/gE���'+xx���
�I�?a�'���[��{K,�.G(��Hj=L���]�7�Q��s�
��N���$bx)>m�d
|�4���6��Tm�2�S~����
K^��Y
�0l���)'m����I����T=P��� �|�?(�p��tg�� �|]�
/i�j;��o����3 �T��������l��x���2yb��V�5�A-_G���������y��<n d
�����������������.��S�]>�8H��
�T�����t����L
/����R�,9�2�:���>5/�Er�t\
�:�ZG)����R�`���b+*���r�_8��?)�0��c���-�%�@o�C���]����4��X*����\�uE���V8��?+�'��DE��������`pW/���H��
+��[yzQ��[��s���{�Y��jf�
��^��,v�Ox,�\6�gY�������/�;v�� Q�0N���w_K������U��������C`�
&���iO6m~�U%��
�����VGW��
�=Jo����8���^����A����{:f�9{M�����������D~��
��G�8
�R���/(��SL����j&�K[""|r�����1$Z��icQ��$
��)��'g��5�a%Nr
5��d��}z��|��m����;[�9��]Oq���t�,�
"e��a��c1��J������y� �^���]�7�k
�i��e��Z��a�|�������Y���
�A�&��
`K
����, ��Q�����O�9IIm�yUMlv���sv���e��ga��"A��p�����}9�����x�� ��0����`� ���tx{�K��+p���J>q���vf��
'6 c�ne�8lJ����c
�x����rB����/�23�
:�&y
��n�:�z�� -����J���i'Og�u��9jK���� ����` �U"W�R��AUja�c����I=
n�X�ul��+����Z�R�{}�(T���,~�VU� ��������|)}�r��F���[3�4��Ci�� v��
dG���D��6,UyO)�'
���6$[b[X�0
t�$:�$����b;�@0n�h��B���r�-[�nT����%��Q{V�I�����,�<�#i��0�oX����%
�ul����|*D,�9I�&���r�,�S�S�������
�����a�$���Si��g��k<�jl���j�;���
����d�[����Q��Iw��u|����YlN���#
�~k����������R{��oP�S���+�/���JN0\JY\��5��9�������#����
�,'vZ�O\�"�[]�������"��1!,��-Ds���\�����%�Q3� "z�<��G���`(s2�_��q���Ne[QL����A��=��UC�j�� �jK��}z��H��j�.�@�o���e�!0V|�P�r����B��E�D�[G��Q���� o��k��\Q����G��65�
��K
�
Nw��D��En��/�%Rm~�C!����H��L-�?)'
XB����I�f��r�RV���u^�R���%�+�T'��)���*7�l�����@)��B����]K��9�(
!|�)mjG��.�9�H�%�?�iG�1o4r�v���j���4BH�d��V��F��e��B+���3���#4�4�c�r�xB���J�����b�J���@X
�K�m��M�L��*�-0H���� ��~Y�vf�s�N�q����
�hU���b�UO&�W��w��_�{�!�2��?��
fB�+�O������$L|��$`�%A��q��]j
�
CU
U���#
���3���14b��xd:������}����U�KpR�,��#���h��������
�"k���8���I�l��i
~Nh����T_�xW����!������.�$$��8V���8�-��}[�����D�9�#����X��g���z,��Q
:������T�Z��au
xjtKeI��d����P(1*�s�,�M
)���rY�;90,�
�ro8�?�e%c�/�Q�E�*�s5����6d�)���V�����{\'
k����je;�f��&SV�������
�l�j�D�};�8�
��h��a���d�L y�/+z��S|T7���j�&T
���\���K_�k~%7�������j$�C��TUT�}'I�^S�}I��eiWV������
�C�u��_�8��_�Z��_F|�R�`�-��bwA���t��p�@��`���jQ��)����k����9������X�\�}�U������,'����Z�W��)0y�����pTT
������9��bC�[`m�6��
,]�:�*����������FIM\"����h���y850�}���,��������X����g���S���W�u{^m���?&���mY!������W� `HQ"^!=E��yA�OP���o*��9�^T�D���!i��:�����X���C����a���u�l_��a��]���H8��,d����HIE��c*�}���l�f�S7��<w��N�G�/�D'��s�/�
`��]\�eAL�z��,����M+�`�����L�<}f���s��&��V���Y��[�c�
����vy�Mt�#�������t�����3%IG`��m� c�$5wQ��j���t�
�I��.���U���T[�_���c��-�
am�o�M�_<���1M��RUU�u��������
wv"�d������S��i��Z��=�
�Y����7�l&���@x30[W�Pwwk��F���q��$����g��Q�4*����{Tz�_X�����n��
�Vu��-�Y�� `�M�|Qq�E��j�X%%V ?��,x���p�TA��2
��i}v�[Q�������A�V���{��N8�M��
;5���B��v�v����J9��dGN���p��P���|g��
`������t+��
8j-��4
��T��Q}�������d ������u����4�mX��E;]e�'��A ����` 1/��������|0�-�V�
E�M{�v4��J�'�C&2Y���LF��k�0���zYM�ZHv�
�A�rJ
�� ��y����(v~f�L�W�<{,58�N2U�
���D��d��a���U��.M���
Wh��_k����> @VI�`'.'�����k�����]�'���vJw ��z������z>����^
~
����:�oG�3�(�=y8_����5
�to�fx��8����~������M��F[�����cU��oqZY�9�EZ����im���^��=�/n����$��� <�n����M31�N�����"Xo���( dO�vtct:�+�NXzI�:�3����7*a�� +n�����
4��V
������HA�a�2+5��H���TL[p��>�|K"
9~��5��r� ^*I��}I���>��;����T�V,%{���q�T/��-��U�8N���V�U5�� ���l=����I�O
>
��=9��"8r��j��F��x��]��Z^tn��sg�Y��d�
�s��
�|��<>����n��y��(�-<���Q:�% ��������_�s��~l,
gQ�RU]��e?L9�f�$�T:E*`�m�������[��h������GM�����~�r�$��^��o����]�\�����v��r�-n������C}�����].`;~�,���qh��^��Me
�J��n���H*�r�?�&/�el30m��M(J��
�s��.�
����YA�k6�8MR<����O��dv�=� a���0f(_Z�PA�:��I�zR����L�"�����`���r?�a�W�Rz������� 0 ��Q���7�����$�\u
�p!�"�i2(����?dB�Z-��6�gBgry�g��n�'�N)x�:�������^j�������/��p
(�)����/9�f,n�K���S��KVRoV�������������y��N����+,� t��4����QY�DT��zi�
��p��E��Ub
����+�q
h����>"�e{9�;6mq-���7g�dg������O(Z�
���`�TIE&` � '�hJed��x�����8��Kl�n�u�Q��-�+������v*�&��K&���
�S����WQ��&����u�����T<���;E�\���t_�����f"����C,> ��
g��E���Uw8�"k���.k�
>��S����)P;����ws-������\}U_���&8�|��<�Dv�e)�1�QP$i�Y&��m��M�
b
���Wl
Ag��ppr��E!�
�*��<\�v
���5��[N:�PEDEw
�Q!Qy�`�J&�K}��fM}H�c��p�����U�A4��G:�w�t�+f5-�Hq�N�C�^��fuZB
���;���[�O&gY
i88�V��$�g�@D[�o3�>��Wv;e l�T�)hb��
O
&[��s�=0L7�����
�����]4�';m�w��B8�O zX1����{q���%��xf[;������'=�s��8���h� ��5��7p;���V���
�>KG5!�\��;�
�)�v��!��I� ��e;M��W��b�{���&K�����T^���.���,���
1\F�m�[{��_yD���)Q2���� �GP��F����J9j��SKI��ug����X���.����#�}��;�������X>��(g��?l*��K�uL��� � w���5�G��$��%I��R����z
,j�o�
%��K��s��6���q����6��ZL[z�$���I�Km����V�]G�s���d�*,%��v�&����� 5��k
$�m[;S�����]^?K���|]�5��y������j������R�S��<�z�p���F��w&�t�8�'����"$��[��pW��_�G?�{��e+���t�Wn����@R{�c�����a���;��������������N� )_q�R��
�~%_��6d������f}�,���p��#
�r;�����M|��~t��3��:�A�?�E�w>��#�K���G9������S����v���t��
��5\v����<'>�J�6oRR@�9��#�����O
S�
����7^�~�����U����R��z:�q{r���|%�nG�s<��6�rf9
Wf
�"*G�0���Z����=4zYu��6} ��\|5x��`�z���aV]������;`K8�7� �qxr�*/�#�<W�dZ&PkFb[s����4�rG�[nx'��2���]5�<!��
��f_q��,��J�X��4%
�j�Q��~[ ���BT��'��2
���k=<��>�W�8������b�yO{�������)��n�7)�i [��$K�C��?*�����s
0ka)o' ��!{bp&�w����"������4���b������D�X�-��Z\�>�����l&�i:V�(����t��T���O�n���%e���)��{;���d�q?��
�KiV��s�!cu
�&$��5��a�)���������r�����5��NUJ��01�}%SR�Co?
6���� n��:b������.�
nU��m e� �%��v�(��u��iJ�l�(
�h�[�9�[$l(2_��x'�
���st��-N+xK}��c
���H�<j4,��J��P���
�;w�q]N�a��R��''<���iK�G���SY��:M� �OS�\�N#�d��4��m�4�,I<6�p�sT�HeU���
*.lzzX�"�qJh�������M�Q������h6��Y <�-�E�8s�iD ��Y6�Rj�Ulf�[l���C�H6�;��6uX�n����d����)]��(��aT)$m/]m�26"��.~�|��S��j�-�
vn�v�@����� �
�Y���������p�l�Q?�9�Fl1�k�[�V�?���Tr��l���������t���
��� DC�g;~�m���vE<oY�*0���
���t�g��V6��_�y[�{1�`
�'�6"����p#�_I��d`��(~���$�20�� /"�C\���U�D(b��V�
XH\q �����K,�Qut���|3���3j9o#�8g[�����N�zR�3�8�������*��+�:�o�^���
)����,��
��?��\
����N��� 7�����\�D9����u�A�n�#?����!a��� �|�^�s��F�,��J���m�q@k+���������f9kf�M����lU
'u�U��
��*��a{�,������2D]|�����:�i��@�'~�n6�\���e�/���&7:^8e�~R~�(!������n^>��@��(����cV�����
(�GH���m3H
�x!>B
�ju����.��Y��
���}��8AO8B�Mi�?���������h ��`�9{���U)�������
5����
�7���������URq��i��}��S�YvG-wE
�G"3H�V
��/K<Ju
�
d@��H��{������L�+�����&��Z��������h��<��b���4���������
������
M@�S�Zs���Y���tD�T�_����N�e�>�n�
��@�ba�b�_�K����*�Gr>u'~��{��2W�v�:
����J
��_�4�
����IXU~��`��[W�@������@��p]��hE�l|g���:#�g_��<�xfa5���3UU��}�|��_�;���Y�R9��
bI�
��\����j{P3� Xn����>����-���g��=TD��9�}{�|��R#G -���rjD7�C�*�"��U�:U?l}n�.��&}
A
�K/���sV�H�\R��[� �B;����d�������6���S��_R�nA������:
,l|l������9�$y\Z{S��b]
qq�^mJ�Z_I���W����^�c0��5��5�q9��w��?�
����L:a���1
��Qo�n��W:��]:�����A�Q�I�uE�.$*pb8q�'p�dX&�r,�Q
��v)�g3�T���^V�YF��� �]�O�ZUz+YvI��(�~Gi��U���#>���3U���jG]�r���<��(� ����O�����g�$�V)�xm��
�� ��` ����`��~C�Y� ��.�ov����@9��L�
{1��s�lA���w�H� �F����v�J�!�3W[aJGppp��"�IJ�B��������f�t)�?R�q �A��+�I �, G0 ���Z�1�2�E���i�!���c�X�v�~�����]v� �%��t;�
:��U���"80�s����A:��Q'�X����hO���
���S�����H|�y
�K
����>G�d�S
�cg�60(�c|����k�/������o���;�d�S����{�"��w���H����H�������B?�����sHv1;U��qM��[Dtj��M^v�E�O
�]����|��J��~�~��������\;��d���Wbe*K���c��=��
������=?��Sx~�Bs)�asH�(d����,����Mz�o��~��������=��3��I
}.���{��9a��"������&������0���px��Z�R��
�~����fc8��������\�����Yy�d�X�+�Q���#8�b�v��+ ��[^+X7'�.��,XKU�
�Cj�GQ0s���|�qOu��CX�l������K�O�*=m��x�����*��C
9���c����*D
�Fu�~y6��B���,�Xj�T��O#���&I&C��[I^���K�H6�2ys
r ��DJ9����@�&��>h0I��u.����q4J������m�������h/������$��1�Q�E���A����g�j ���6K�r�.���5�I�xZ��alV^������i�&�@���=��p�T�1*6����Xk��i]VZ�g_
ox����U<�
�Y�������21���W�����#|�[�t �B�*�^7 |��\���^�!''��q��;5t���J�$v��E��*�U��0*Q'�/ �Zs���8�G<6�T
�S
�(G"��k�d�X�
O��7m��m��)���(�X.R
�|�\�����t��U={�W2L��=;�p��,�|��`q?�{"��uM�������!�>��>[��!4�$�r�A� ��*�`��)��^������!������aZ� '� �j2�OJ�@|�#����n��U
Is�;Pm����
��
������@�����Sv
y3��* J���r���
A�A��l:�'��3��K���q�`4%�N��r
��(��n�O��8�����<��E��K^��s9�mP��2
x]�%/W��b
���%�{�����(��VU��(�rL�6'�P_Q$��s����O��(�j�{�C:��$��
����!.Ye�
���]B��9�8��g�H��[���|�Y�U�r�
8w��".�@���
8��*��[
u7'����]r���
Q*Z�T�A�^\�}t���d�`��Hp�i�@n�sG��NG��'��p��%�T4v�
}�q�>e`r���1]���k���om������\�sn���[��$W������:�{���6�+�T0��
v>�5���;���w�f� ��%�%+�T��J��e��NL���`��1'�v�6-�ab!�������-�� h������hG���n>�1K �w��-sF����%
q
QM�P��?�Nz?S�`��K�w+n�-���9�L��:����������)�#T�����
+�,��j&�d�~E3Y�
��}r�Q���f�e;,B�.��V�(v�����B]\������ ���np�3
/��
�6���S��)�|���q����
w3��p��d��i��<�\)�Tw� �n�o*����H�m��8�3�PA�~�U��.��d���������N�
S\6N8�������������u(��:�(��C|XL5
�o�M�ay91��.���:T;��&
�Y�����ui�����EE1�����W`4e��l��������I���(�pG<v;bu�4�O>=!]����-�mI| ���&�Op���K�w�&�w�6�ET�f#�~����e�h�bV�
����2"C|>�`s')+����\�K�.�N
^
99�
��[�wUb{��-�3��"����R�X����tb9���7 V$�r��0������>���_�K?l
�wq.
L�8�%
���qm��b
�h�.�he�����N�F�BS���d�3%�|�<�5^w}-
*U�����B������7�o�
�Q�0�U����6�u�^v�����b�#G��G��~��I�h'�
�N`U���m�%����p��o�&O�3�
�@���mbl��WO�^�.
�p�
�+�����.���q
��Lr�&3*��b��S�<����R�b?��GQ����7�h�@���i7`!��d ���P�$b���B@ �Hr��n�[��jdEb_/�c+/u�.�uPI���]W�������
�����`EV�
�e��Z^i������%�~��K���
P�4g���
�d��!���IJ���U���A$��Y���t�|T�]��t��
��e��
(pZ��*�v#_�0@�Y@�/fG2�h��<��u��Yr�p����tx3"� �{��T��0���<d��DH�p�,�/}S���g�� d|�
6��U��K�����{L�=R��
�
��f:q|��O* �3F�����G&�b��P 8�v���q��:>��2��V�.��:�F�8
.
�\U����[\��Kl��u��;(�4� W-��9���Q{�^r�
�Z����LbV���6�����������U���u�������e9��<��4���4-���G�
A���y����{�YY�����1D�
7��)�f��Z��d�� �����m�B�cY��������uX
����,vz:������
�;!MY�!kV�R'�:,{;�emH����+���YovDZ^5yS��j�J[4�<(�X��s����pF�<l�
EU��&�CW��;��x?
Qj��a<+
M���������"�)*,eU��c
�1B�d�X��\&S�JV:k������o)����8����$ng:�B���X���
���+����R�����i���[�&l��>:�����i������]G��xX�L�H����� �.P�\��B�:��,.I��Q�I~NZ�B����
�
XDXN `AeDF!���]p�
��
��jMn�� �Rb�
k�-����/k�zS�����n� ���J��"���<���( s��B���K l(�,A����]��j��X!�%���1'��O��j��p������[o#o�t�C����I%� ��[<��\y��Az���,��f��h�u���mJM����b����O���kG����*Q�#&�?N�'u�Y@,N�6�
�kU�u��H+��&&Qj\a��H�1�7.�Y���R��|+�f���T���FV� {
�,e�������� ��`���s8)) ��
���'
�[���_'�]i���[7f���"���j���G�%1�M�}H&.�?yBWQ�
�
Q��=�*+��������i���9*�i�Up6K��d4�������BGLV'�t���F�k4�,��[�x>���Z �$�a��)(��+�l� Z�8/H���<
�6 s��^�%
��
�;jZ�"���$ �
7����T���j /�U�I����i<8�E��d��I��� ���n��� �"�f/��l�1Q��i������)�~�m0�
<�&l����/�A���^�����jS6���B���NpP�S��X!�q[AS���,��U�����H��L���l^5^��i
�TQ��Ft��l��g
�:�
GyG5<�h`�[Jzb�hm����b��]im,"����
�)���)�2a���P���3�
��X��Y����d3�����oX���A���Q�x�h���J�����"���>mf��=��
�����p9��-WC
H��[����e���d4�q�Q�
]\�����T����t"�0�0�o,��������
X��?�g�p��!N���� ��*���3����������'��E����ea������V��=�-��
��2u��_1����qZxJ5
��m
����\Sn�n�Q+"����+����0���
C��W���
-q�%qY8�R"�aa�8�+=�RF����Q�]U~�0���=�����;-�O��q�XE��"�
��J��1a�lW{
�Il������������g&~s������w
xv�r�'M_�x�I��R�'��t�
�R
��d;*�P�$��9�3�Z�k�x�W���Ji����<E�y��9�u�M#�����G��,�X
;L*?bvX��Ua��`�%5�}R���+��)
�d1/��
���L�y��PI�`y�����b"��@@�
�L��d�ad���cN��� o�����)j/'��7�J�re�u�Fs~;��e
�1��v��i�l0I};>�E���
0�n7�
�f� ����Q�vQ��n�T`5�4����uU�� L0lj7�6�x";�:J)� ��A���M?��%a ���������~��\��a1��YYo��,�-�i+�
9��4��&��*�
/���-�R5$��j��u�&��
><���7�zY1q��{������5v�G�^�Y��a��}�
�eI��G
-y2�~5��6������a�
��Mz�
m�g2|���6|E3������@{hA��|O���Z>25�����8
@����m�8
���r��erQ
RN���R&�Wk�����*�;���t�lIZ}D�,�=�����|�M�f�B&R��AD�0
�����<�#�T�G�Kar�R�!N�M$��T����:/������-�A��#!�K��&��$�#^*4�����F�f;�����%��m�J[-�"Vd)ro�Q�@���mOu(���; �
���T��:�895 �~��.
0YI��VT�Cp-�H���v,�R��)�i��F~�R���V���wK�h#�
�xnc
#"���5�,��[lVx�C��kaI�f����d��_���`2I��d��f"��?fN
Bj)m� �nZ;;�JH ?K�>���L�
������bb���f S�R,���VH
��
��D�nY@�&k��HK�]/r<J0�]`��R.X6I�����,&���J�T�+vO�~��"�:���jP;���-�M3W������
�L�P�<WR�������Z�'i�/ur�nb��
�s1����D��} ��
��o�e5�u���JT�JZ����i��]��x
��Y�����5��~~�
����M�
�.3_����/��S����1������>���NQ�� �T�
�
o����
�.a�Tp�7��
K �'���1�wA!$��
cx������C��"�����R�����xJ�(��*a�C+�s�v��$��+��\�w����������}3I�.K��m�� l
�n���*��u���$�}a(�Y�`��|26��0�
m������AR �R��9�~?fq��(N���wr����de��E�
����+A&����v��37�0��������JIE9q�-g1Y�
s,�x�{�����
�&F;���X� ����<���5�H�1l��r�`��Z����Y�~H4Uy����l*{�Ki�s�]6�0�^D�
����Y7���c�������MJ�u����}P�:�d����(�'���z���TN�T+���3�@p������
���Lh���hrAm�W6>}����XTOOm�dx�R�_l����
I�bj��bQ <^���`6[���iW��T.��_n��i�`�m�&����8�%�hP:[go�����m�����D�����1���c+�Rl7�a�kLL��}� -4�����K�d66
�p��xMhX�!|%��;��?������O�Yp����
���e��0'&�
�b�8~�
����
�P�
��A��
f��<��L�:�A9��x���2��2�S��
"�
���iZ9z=������G����m
!+�8���� *���\
��+���-��>�M9%��e!�
����,'�%�`q��9���0��<= ��7���������D�=j�� '\c*��QL��+/d-���a����G�V�������u������[E�8^����p��Y��X2�X�gB�aX
z8��+��9q^n���R9;D�Rb*|�i��KEL�9���
�_�w;���2
I�%"<�xP�C�n=F����
�|��������O]����������P�2gn@��
$����y�^��V��,e`������l�����!��y���=N��h��3���6�0V
�r5�Xl����
�;��Gw���l�>eZ����`�9b���u��T�'�0��q�&y�
_
��L�M��zU�]�4'��8����<�n�e����)�-���B��hCfL�p�s���-�-�.l���>���Ir(
������O�
��H}��K���"�p�)���Fw�\�|�m���<`��!|�s���B*F/���>B!���Gt���m��� �gm���`��Jn
6�c�
�K&;�Y10f�[��N�t��X������q���a "+��9) ��R�GW���
�KV�m�"�6?��
��p ���! &~����\@
R�Y��T�r ,�J���U5�[F�3-�
��;��N��8
`���Wa����}[�@l��W����|Z��F��=&}�{������ /�t
��i��!�6��'��%�fl�
����S�i�;�����e=�2_��*Q����-�
��i�e���T��B�3�z�(��y�V�
o( nR�w
�c�H(��X �X;��G�k�f�����
�������<��?��dB;�^9`f�&]��?��'�Kf�v����-VX#���}Q�3U��s��K�C+�d���~���"lHU��#iNJ:��*=��
��5�>�N���0 �{�S��G�@|���������$�:[4��i�Sj�h�?D]Y{+�P�^/)������
?9�0����Ri(���j%� ���=
�J]>�t���>G��
�/c)�_S+�(�D
8}
��K��J�+
$`O�s��^�&�( �j���
�����6L�E�vDn������Z]%��[$�XgW�WVK>��~�>�LS�7������Q����������"�o ��%(�m}�Y
��P���������k���~D�F@�
���l\�C�
|�j�^�J"��~��\����p��-��;#:
��%�^�������� �B ��)q4L}VqgR9G{����v���"V�%���g>N���>�%��$��u�[tP`r�C$o���\
�W
����~w���oI6B�b;�cVI�7 ]��������J:���v�_d �5lp_�"g�mr��f�aA���|�<Sa��5;O��������#�uV��f5`nU����!Q,#&|M��e�'Ms]s�;��������-��K
���H-������C�W����%�%}$t�X�6u��0���n����0�Q��
/�9#���k��9�i1��_{�����
���5����\�
����X{��IG�:�O���c���u���V�{:�f{������
�(R(NJ6�b�������������=m���S��8�X���!�hL����l&�P�:%��m)��4���e*�I'@�4U�S�D���\�5>��:�z�2}��V��b������
M�E����$���������r�t
�U�Pf�,�u�C�\Sd�@0���{���T�)�a=>��PS���,������xc����~���pn�S
P�9CLi_������_*����b
{
�e�-�j3c��� J!$z0I�����Ku]����#�����I
��w8,�m�n����I���_}n����<���w
����cT�uH0���_
��fh����������C����
���
1�!��R�n
Q�-N\��H�p����{���3�m�
�E��}��:�xfx��d����.E���[�`�}�Q�!�$ ���S
�9�+'6����7����U(�9[:ig�h���4Neu���
4���$IOj���wm���~�4n�
����E��
R_mu
/���%�=����e#�)y�dTpV�Y���^\��<��&)7�RA����l��kE.��(B5���kJ��3�OvN���S������wC5���3l`�������0+xE���ft ���n������%��=4I���Q�\�>(�3���u�d��� 7cu�X�x.<�.3�?�#7E1���0��8�R
��5&0u��~^���4c)�-4��2�H,7����
4fclv+j��W�j,8���~��8G���}�/�iM]Q<j{VH���nE���
^��{u�U 8�52�2o�D�SrHV@�H3�|�F��d��z9�V3q����UB�jy�M�0��3�sD�
������|�P�*��6F������
a�hF
S�.��I�����Dl�O��;��];r����T�����X�K
�!I:k|#�� ������k�#oe���s~��UEP�~6�|/i��|��#�]v����g2�p��
x��8���j��]��W�jpt�qe���^��)q�SNv2q���)kIEf@�6��U���������Go ���;O,�����}:���|
YT��T�[�b�jcIu�� 7* �vz��G(��vh&������HT����9������M�
)@��������E�h�=��N
����q�0�]�7PH��+*���Z
���������?kcm �A+QE"
:����b[��1�d�z$#H&�����4c�*I
�>
��L�g*''�wW9�T�� G���F��n��2���{�|�D�V���Wq�F�s���
�y�s'
�nB��s8w��)���J���`Uc��A�]uEgQ��&e���~�������48P:i�\
�7�����Jn�&"�����`���>9�#��+�j�&P�L�;�^�{p^�M�2�z��6�~/�O��� �,��$����z�FY�ig�� �N?�F��M�?$�n�����
����6
���}o������������.��7^���]��W.%�U0���r\g�i�;� "������|�
�z�E�i��x���S��������5��~���w��o�N�n2�q�|�����,���s��@�8
b���
�ek`���eR}��(��Ka�d�g���U
����_��{�*[���a8p4O��rl��,�s
q���R�q>�p�X�Js���>=X
������f2Y�;5�8�]z���T����yz���m��5I���6�
��6����i�>>H�.�E�u�f�$�K5g<��$��#�x�I���d�����*(+�
�
f0f����\��q�N\������z���U*Y�4d��w5y?j�&�d
Iri)�eF��]v�v;�����m�v���_T�K����r�v���f��f���������#���6�+uE���X���J�sF'�v?�����L<�*�.�}:�t�6�����y1��"`�+� �`�~q��-vx��D�J���,�M�%�
fS1b^�T�T��y���n.�����=u�"{����}�������
��C/V��2PV�'����-�z�B��]�m���-W�g+F(#�
f�G)rY� �1�B?� �*w-������a��F�1��o��C���
%����U��d���WMDF�����8�3I���u@��8y���
���h��e%I";��.�u�������C�.l�h=~���x�q��^�$�
{�G8Lz�{|�\K`��aW���V�Ld_��.8��l��P����G
�gUQ�B����o���T� e��X�/����t����x���6�q�%��k
������5y���V�pi��W�Z��,���g@��M���pY]�$TymT`8@�(;..�
�������������
+��9P+��
lpS
r�i��
��83���U��
(1J���iM��`q����R��EY�*���[3����e�'��s�h H�nK�
��Xx����|<h��s]�
*���9�=� �t+-0���kV�ZZqE�f�1�bV���J���I��a� ���"���
- �c ��Q,�v���
�=�����
G�����Y��W+va���B��*=*OM��U5� �gY�?b�5Ij3&��X��
;��p��4��] [M|�8�B`��-zm-�=W��A+��:�j�Z1�=e��D�hH��[�U��K��2 Q�2J�./�R^D��2���U2:���
�C1z��s
D��W��-�Y.Jhk�������OZ,�'��zf��k�DqZ#@�x[������s�
�Y/psv�m�!��bJ�4o��'l��Ia��pc���T�Z�0"��
U�w<��wWi��+e���P.���q�X��QJ�[/2�
����%;���}2���r
lvE�g��P�h���?����QN70%��?��������������p�����:�s�w����b������i������_��
���0r)-W����
�p�a���
&���<�|j��s�L��-kV������lB
*�����^2}b)���u*�a�NPs^B�u��/��}��kJb�
�w���N�'28Zr6e�F��]v��"�����H6'
�`�l����Zi!n������=
8�N�����%*�a�I��C�l=����y`�����r�|��4U���%�V��k|]� ����)����#[{��+�N����o6�/g��r2�I�Yd�;q��f�1T�eV>�1|�P4�2R>�+a��q��5[x�N1� �
��ep��K���=A���d/��X�J��%���9NI��)�o��o>�jI�
��kc;d=�� (!&��\t����)�j�b�U6R56I�+u�mP�:���7����e#V�Y%u
�
�'fX\��aP����q�i�T�s��V7�����^�p8S�
�
ky��&
����d����U�
�7����Ekm�v
�>_AqbP����`�
�#���gQ3����<$"�7n��pbs��r�����q���9W/�h���=��x�&��<���t�!����@����
��c�����T�
����KFR�+�+��7��(R`�t��[�o�
0�K�gGf�y)��jx�,�����6���M�_�
.�������V9��<�mE�Q���}�u����D��p�wg�$#}|#l������V�'A1���b�� ��_[nA��mFR��J�(������J.�������t��
e���%������M'-e���L���,5�C �������������&�R������t^
�����!���<�]�0
��|��
5���_aO����k���V@�K�H�_T��p&��<������I�4��I5�h
N2 .BYf
��@�S�T���rH��������- $��Xufn�N���jd�B�&�
��3*5����e��7����dJFg�N��=�������U�=���@�a��x\B,(���d�,Htd�����*O�b?���e�,/H��g��>�����> ���M���k+8���S@�z�`+��ep�O����t�s+�p|�:-G��~@���Y��F<����[���}�����<M+\��8�5�� Q������/g���x��1�K�1���T>���f��k�1�Q
3E��m��������>��*���%�?����2`:$P�c��]��d��cM�R��r�
{
�4L��L����S:7��������9���+�R�i�'5
3���N�G
�m�\��mQ��4�z&����z����0Wk-3�b���k�b��� ����*
��Lgr�8�^j��m���d��%���- Ak����E>D����@�2�bT����Pv�H���
��W��z��m��]����Z�d#�,���
�h
�I`!�$�����F�Z�(���$ab�
�R�*�e�<G�3��u+�bv�&!�n�F!r�������� n5Ey
��� J�P��#�\�~�P|��$������rZ�Y`Tv7��r�t4�����v��f
-��>lB��<}�)�t��������i����;�$�X��wRN����i�cF��T����f�l�����Fe�C�E��|&���\��!I�7;�k����
FBz���F�����
�q`Gp�
\�X�����M�l>%$n�����Cd��:��E ���JY��l��]������^2.J� �>��8��9v� ;��d�&nP��H_6~n
�T�Vkg0��!1�X^\�� ����2�r6��
�h��_�*K\`"�����mU"8�n�8��������m�� ����N�dN�G3$���/���s��!��Q�C��e�5�c��
��
�j�����#F����9N�7���U���P�"��y8����������<�F�S����d����=����F )
2'�-E�
��������
d��������
��� J��8���Mb���M���4���U�����M���
�����#z_D$������X���{�tG�����eO9�+v��]��1���
���S��`E:�g����@%�������o���Y��#�(d�8�W)��( �d���-_
�J�h9������c(T]Y�T)��$�1��Nun��
m_l�s�n��VR�E�q8�x�i�s
G��[AI�XX|������^ h����q;LW��r����D^�Q,��Q����9E��Gu��:)� 8�-��v%������~����6�T.��cKb����)R)ks\/3����Y���x�[����w[�x�q�+������a����,���9���KR!���D���
Js����z^\[u���
f}����Q-^;��I�\�t:��b�v+vE�*n3[K'����S���
���2�"��}��-���-�U)�5|�X���
x��Y���da�I�bU6I�����G�IU�8Rw����>~�� �~������������ux�C/� 6�9�\�[�E=CS+) f���:����m>�H�sKvK�i������|���G���U4g^��*
N"����r��#������_F�����Fx��>��S�
�%��MR�+�e{��r !���
�,���M���T�:[�����2g7PFO��Y*X#��^)���J�@0
��&��*��� Z�����-b�!^D��bs��(�-v��K](���sJ���k�1�rW,��|s��>]�.�u��kl�]�
�o���[;
r�D�L�"#-�`JI:�XD�\(e�'�i� �,�$�
�����SVx�_6B�b�W��aR8d��f��[�.�u��YR� 7KN'���x���V9)���Vo{�����<r>�8~�0.�<�Ji`������H��S������}���_Z�v|
�X��7 ~j;���s�t�,����^h1���P��{�<�������h)���MX
3g�������8�2�hR9U��w?�g�V��������
���(
�=,�Du��(��Jxu
|���U���;��I�E��PD��$cz����[e@K_E1G�Q�r��[S�j���q�D���[w��,WU9���l��s��3j�@Yg���Q�z���
SNU[�}�*: iu��AA���KL��
(�^ <���I`x���h�������
��
��
������� ����5'�2�=(uZ�
#7qv��ibq��f���5��_�
g�������TJ��_n,NRV���q�Gm����f -
�����{��E���c�����&\>��
W�=U������X�[�9^ -%P��,-n�W�g<���q\�|�Y�M�Xw0����QV�xM���uQ��>|�d�����������*��?UT@�����TI}���8��93~�u������`ek�� ��h�
�l�;d~��ZJ%B4G1���� ���s�� r?c^9,�L�C�R���`�/�������q &%����F�=\$`��
N�d�T�E�������s�?��Zug]�NBZ���U��s\��P"2�����%N����r����1�]�
-9!��)8���M.����>���C������ �' ��el��� ���QO�G�
��
0�R�]*����6�tU�� O�,&�[� &���T�������}&d� �q�������
�&�����l�7��9��O��`?�f���?��n)��7!�B8
�����B�SC�RaY%�<��:��Fu��7UiZ
�#����:�UBTB�30�=v��Y���:���o��l�X
��F��C�
�����
Dr�
�������
���
�PL���v�65��� �p�- c�,��(
>rb�:�;�r���2Ig
�!08N�
����������KH�����
�.��������� =�X�G�����U�����$f�v��2[����\�t�����"r����v���R���%��U�8�W�&�������s����m����F����Xr�����Nl�H��T�
�;�'t����Q'R�Q�E��m����E���.I�������26%����wa��D�l>+
���3
pg
�%���D���Y�����Mb��b�z��ZU�����L������9uQ��~4�3A�M���o+��ac3�l��x�+����u0����IK's����QY�q1����2��ds~�,(�
�#�Qpm��
|�y�����(�I���!����_�u��'�M�3fW���i%���w�����e(
����ZBeE@
��O(
?r��x����@�h�� ������\ 7c�}1��XCp��Kv�4�������6r,J����x��k�;�1'n�R`2F�����4�4'��B$�'�n�G�3
��E�8d�M�ht��&
%�L\��bc��������$�%���T���SI�rp�x+�
�_����I�GZJh����eu_�����Ns�S�4fS�]R`9R6��n;M�"��@'
h�L$%��3��K1�c�j�������_G��H�x�4u�[ak;:����}�
&��D3�63���P����?H�?�O�M�W������`�)"{��ts��CF�bQR����{j
�o���E�f��f/�"���uY�c�[b���F�X�72�3z5��s�����g�"�������d)qn�_2<�n�
2���
|6�����-�X������c�K�8&���%�"��{�Z@m���>�2�����N���_:d�����&�������Cp�u\����>�_��[�2T�SN�>���v@�s��.�>��@Pb�wF���F���,o&�����CU>.
����$�'���a)]l��j���y��=-������I�Y
u��G��w���Q;]
y
"�����1��!�A����+��y�����,�������� �5&���H�:r����
����es��
���]��iO !��!��0�X�
[���
���&�1����?����w��������������~����c�s>�,��F0K?���: �xN�a��0�
h`#�7�C����XI�����
{���� #���g�k�p�cA��� ����W��Wu�W�O��8�n�i�hi
#�@{�V'��C���������ha��i}� �+�����i}�m�:��
wN���SVl�9r|�q���3�s�kU!Q�E=y��[��G�P��B���T��Z��h��k��QXD������M�����wi�YvLny���)����W������%���n�'q��D"��aR��b=J��(a(R�s)�~�������!���.�F�"��%ki8�P�BV�P���9L�����3��0�P;y0�{��!r4cQ%�����:���,�d�����p����
�7���|\Z�`�>;���&��1��%t���1=�S��$�?-paBVU�����4X}1�D��a�/�Uw@�����A�D��:�����%�S�� ��I�����>�E���a����4r��T}��V����i"�_R'|zjv���m��}���r�3o�r.S� NwU��,f����r(�{�D�+Oax���
qm����9�*����_!������s�������:����eu�S�3>%:P��H�;��d������<&��*d��
+��s�/�'z�y�{
+g��c�\� ������D�ZJ6�X��xSI�\;�����EWC�GQ �O�p��f'V5K��Ek��n����a���e;K,vQ'L����p�6b�����>y���7J���K2���6X���v�����n|�r������OQIv��������������jy�Kp�8H���1�Sh
�L��N)��$_{'
�%��bm,�9�kI[m�lYjPAx:�Bdi��s�o�m�r9
�<~l�+��>�|Z/���au��}^[�Iv�W�����b�[�K��)q��������
�{VW�<9`��; T�s8=��O�W�[>����
mN�����x�G����X=QB�Nd�����%�3 ��G�
@`��<�����b9��UZr��i��l����j
��#�&��H��v��Nk�;U�P"<�0UX���^��1��yv�_2lr����a�K�S?$�0��:m;t��msD�����Os<��I1NP�G��N���%�+Jf�AT�q1��%��
���j{qI�8 ��2�����#��"!��O�(1�.*22�T4���2d[@FJ�u�WPL�F�p��&NG�qqr�
�R�rI���A���)GK��%)�B8I("�
��('yDr �]�s���+,b+�j �8\ ���&�G�)�K��0�{��n=,�k�+Q���
8�d����i�"K��
�q`L��w�,$5.��
3����#���d�7��.I�v;h�.e�R�8NS'�������)�
`�!O�j��*�Q9!g/�D2`] S��u^\��� cU��`��{l���
FUXV��lU�*���Yr�����1�9��Q� �Q��8��X�����0�+��|��k��E��C@R��*+�x��wP������V�U74
�K�GS�e~v��� �A�d�����I����v��l��1E�������OW�������9�/�u��VM�
-����R�Q�������n&��Scs��n*������)[����*��c��� XU7A3�0��M
>��mG�_���#���"9U���G�4����
@Pg����|�
��+
+v�N���*�'�:E����RUZ������)��?����~��+;n!��;O6����C�sL�?Zo��+i���
��
�Yj��p���b �sef����������c
���6��,�������!S�J�W�A��TW�{��b�9U����J��fy@��
����a��H�1�� ��<��F-��b�;P
$�
Wx������}+�
�m=��o#�'W�)q����%��u�Y�r�.�s
��m�oo�=����j)�����]��20����p�
&d�W&^s�&g�R<}v���� n�i�j���x� ���G'�V����M��
�@�*�k��:�zs
�3}F�������Q�������rX2@��B���P[��cwm�Y0S�����_R�e���1�k9)9A�[nx" N�D����G����8l����S��'�h���#�*
�a��X�Oc *���=K�Ep�X������1���(a�<dd�8���
�O�(9���f�5l��}����ku����I
��^�"�VTI�I|�U��4�6Q�R�3�����A�D���������9��8��[�t�/���
/p|y{���/U�_�EW�_�q>��
�qt0�N�m����
�msB��N{�
�B��Q.[�o���8Q�`��w�GU����
��TW�Rz�j����v�r&������������HQ���.�(��!�[V�r��
Ky��b��0��%~H�\V�M8N�p������X��k �ah@�'��B6@�|��j7�y�w38�N�%�K!U���������_zB0�
WN �C�N�'��r��G�?��.�y�H�l���b$0�������O]=�W�x
���-G�C5dn���
f
�����������v��
;���K`��RQ����`
<>W�c�^��I�@��]u
9+���}X�7
�l��
P�a��G�AH��� ��d�w�$���!
w���� ��Dw���8���L��f���K����Dg#f!;���N[;
)
%��*s�����I��T4l���b���2G��0��T"d~���^�F��A:����s��$�(�@�1�`�F�l������>VU%���XIF?l���������:����F���:���8<��(g�f%�3%��+8������J��4;�R��z�H�c#�eQou���R|���������'`@����������qN"i/�������lK=Q���b�'d�}��:�����,Rf���g�q�� 2�p����'W�Z:[�4��a���[4-�>�Ww��o��<V7
�<���>���
2l�M%".ZQ��D��7� ]�^��+�5�x$
mJ��]�`Z4��J� .��L�a5��Sx�V�Eq"G�h�t��
gn�
�o���{�����K&@]�#�9 �Y�v �\�GZ�r�%P��0{���C�Q�1����s�M\L�
l��`$A����j%`�l����ef5��
Z<I���H����4�4wR�U�p�������F�e'��hA�}��. W] ���!���%�#�(g
�(\�G�P�����l�J
b>P���{`{'�����,3��i
.���+�������
E=<��'G��
rR�d���z9��aD�"P��
���#�v���PI�Nu��U<���9s�Y���^���������>C��WYw��
q��E���RFJM��H0wL
X����rj�af/vJJ%������>�}OT'�O�����)�7�������L\+e+���'� ��`���#�
Y�;����T
�5U%c{�!�
Z� BL�4!c�z5���X�Kmo�f�����l�h��6�������~�
���XvJ�8&Ns9�
^2���j��CH�q����2Y�C�L�`M��w�T�K��d����
��#0�.7���_j��'W$��C������� ��
$J��)���q����P�����[y�
�����
�k���sgw@�{��g��yI��Rq"�L�-)����0�����B\�%�-]��){�n���m;��2����� s>B����5���b� ��x
v����cNG|�
u�{!$E�h]m����e�����=����^��6��[5H
����
�3D�W35\p�= c=�n��
���
?���
S)�_@o� ���2����A��V$X�-�.
��D�3���k� c����U]�s'��n������p�}�,��J��Dx��_$<e��F��O"�"4�N�l�+���[�2B9���#�.�Tr�=�M`EI�,�2���t���:���q��+
��xp{A.���
����<�����r(�%�i2�� @��q?]��Y���W�t��D������V_���Nf��k�����&B���z�����<�:I2���\�5r8�D
�3��]j,)M?�3xA)V�xy�� <�e��\�Se"�*N�R
S�'Nq��K�>u��.=�<Q�2����������t�,?�/�e-?"��6�[�8
������qXO�R�����?8���
�C������'�� �0C�#
F��Wp���AL}�0b�/au0yOh���.z$�V���}+�
X�Tr�J�_r�[&"%� �y'�?�2���d�o��*�j�m������ ���S�f'����
\��t�^�8x\��W��[^����~��(*/5�I�2��J�hTg!B7,�Gg�k��(�����R���G���
��������=�}r��4���8�
=L|QBE���q�D*} 2YBu���
�
�%�� 3����QN�3�Z�
w
�v����W��C9��&0���*�
_��iw��a)D�
/�a�
�[DK��b����������Ex��0�,�^���z��HUB���{���
-6,��6n����=?����^l��/�
�mg2�-�q�����(�����r�O�}zV���x�#>gv$��8 ��d�$o3����l�c84��]�S�BpT1��1�-�)�S��4�,
��������q
W���_q
�
@���@�j�$�f���$%�WR���s'P�BU�R�[�����3���C�i_��^j p�<�{�X;b-�y�g�j�zoh������,��j���xZb��< �����(l����'b��nK���
E
�� ���g*g���l��3
��;���i�E�h �a��iU�����"���
�`�;��T�i�*iC�
���H��
Y&�W
@��f�)�R�r�0]k��T%��?r��Q1Xk�^Q"!1k�<��RIX�����N~
�m(<��M+mV�T�J�6�'\^��%�����.�
P�X�]!�Qk]�]����9eg��t2��H%
ry�.bOs!��`{�M�@9��Zxy�+�\�*x.�k
�u����@��&,��j��-�)�&,ckR�-�j�����`*')J$�/:��gV�$��p;��c7�]�`��b������m�X�~G�|����Pi=�q!u�����A���C��
�i���m)!�}�v�I�������*#
��3i��/)Y�!�l����Wk���9XF�M
��(�p�6��h&��(��q�we����D�61C��-���p������kjY�pI����)��@G#!�JI\3+����KDu���fe
���
w���s�&H����TZT8)&�4�3�M�Gz�?��lv{�x�"��-fO�dAA�����������e�R�7�6_
:�[��4�`CL����Y0���h����a��6���G}�d��!(/3�}.��$/8���8�9����1/��H%�����v���Y�P]�"v�Vd��,�]�9�y��������Q2����Xt�������K [wU�!cpp�,�)���*Q�J�e�*�(�7�����<g�P��7���W�����W�gP#��Z�E�������i���lG�
�e
6VVZ��R��$�Q�h��dG���r!���j�'�mQu��� �Q�����gM�<��H/k�&<���)�&v
��L�
�`�� �$� �h���t��B���'/��*���mo��!C.Y��������X���<Z��h`��5���d��}`�Pr0@5q&
����U�����s"|�L��H{�u8��(���#�P �2�]����KV�~�
�v���Ck�+����������k�uz,V���B)rh��`����������]�-��9���
��(Tb��l]��F0���]r�c%�e����CT������"
��=U��j@�S�e���*�Ey�Z�H�W���t.x��$�U
l�Q����o����Qeg��8�6�K��,�&��
��6��!�aB��2��j���F�� ���
"���r�:�I��m[�a7|O'E,�r1��I��e~�(��P�������y�C�D������~@ ��MO����'��|t���� ��n�wN�����;�2P��i�)�J�Lye�����
� ����l+T�[T���f������V��sh�������S���E}<�F�M�-�)��`�"nY�1�km,��\��J���8m�%�P�l�����b�o�������T%/������(;���A���akT��(Gp�K(U�^���v���f��3!��Y"�f��z��!���$ ��9�`�~��l�VJJnul����T�!���/jc�A'F��D����S�`P������z�%
�7
�V3������,���*���>E�k�tk��A���s��1B��%��,������_���\R���T6
'I��d�������5��E5� ���z �z�i�AFn{�*����Snu�&S
FiRy
8
�����)��(Y}g^{��D5+J���bR5`�� g�D�����
$����������������
���t�&���3
��P_��e.�Ly=E�z~
�b+g��
�#��>��$
��Ln������+
'd,,�HL�6Y D� �~�,�L�f�z `��R�GF���R,�<Zx�B2����Vj���B�k#��G��VjB��UQW�����[a���0���g�Abl�d,����>��B���aJ�����A^��nY�Bc�e���>����G
�f��-?�wfA�����Y�LxI
[Z�6��jq]��ZI�O9idvf�+���ms�i������Ee�2�p�?Uj�����o��|�YR�jN�4�G�b�D�^{�`�����d��Ya�d����o[
����(�hb���.�f2SR]&;
��uP�ujd�$�
��Ji
OO�o�eS��9�L_��NV.��4g7)���-�|���d���eS�].���� ��giOuQ��zTBN�T�#��}���`
�O"�~�������w��"
����K���[�i��6.�:
�#e�-��8���)�OM*�2�xu>+�����BE&������G��)�J������g"!q��
�a����m�* �)r��h���3�8�D{P5$�����01vt�5�|tg
8rT��86�i��2"����T�U>@���)#n�\u4K!�� g��
��(�4K���
����#`�K��f��������L���Lj�YO$�2�U��mm����
�"���Y�
����#���{\���Ypc��`�@��|,8����1���nmm���!S��{���6&���7�����]Q ��g%���~�V�[M�hASJ���-/��:K��W��I��s3�kK8(��, ��4���!����"*��I�4�d�4��p#�����|"�A9�LUdd�w+H_�����iE���(� �#6IV�n$�,�������Du=�.�J��]f �t������@����H./�2�YJ�z��4���s%�l�vQ���x7���2�u@*�&�������+u�V���q�6��(Xz�(]��4� ���hG\����9J�X<3����Q�)|jo�;�M�XH��hL�r� %��-�h��_�'�V�>�uN�G�-
�����������[2�Zo����Cp�����x( sC�j�Q{�:��
nRk
G�R�y
3�5�k���!&�"W�N�fY�������:lp�� `<=m�$<C�9�����1
���$
�dIBm�ZI���� R_�������1�2�a5K[�Tb
a�g�d$
-l�lH��x!��U�����R'�K�
�%E�;
��H�sY1u3O[�LoS�Q�`�I.��0��*t<G[_s��u\��E�F,i'��XI��XA&T
k������!{���\[����Ak�]*�
K'+����=�Z��eo�Q�{���f�\^6���
�g��Wc0��/B8�w���ZeL_o��4�q$.p+�0�=������E�y[�����sG<gk�K�~�k�N���fjq0�G���<x/�YeL[����KW��'�@��5���0��b[$�#�j��* ����S����U�Y�`9�S�[�l��K`E,�}����9�>&�W�'�D��JH��Y��N����G�4Y�0�;�\O�����AX�U�*,G��W�J�P�@f�����&U�H.(����U���R��f�[��LY�g&�'��=������]E��U�R73����������`b���l���Y���2f��d'����X�l�b���Ej��)�~��O�p�Vu ���b���v���\�2��+����e��������o+������(Or�f����L^�����h���_(y?[K������!���D�Q�u��.�z�
��lx�Q4U��9��k��
Q�i�
�A����x��.�ij|�����<XAe�\�t���z��-p��r�R4��T}`����
���|Y���e�C���K��],A)�d��%��P�z4E��LPYj<�G���e�H�6�Zdj��=R�G���v = ����/
���uL������_T��zRj-���W�����c��5f�){k�� S���He/�2b�<��?{\)��=goa�rz
���/c��[
d��7�S��ek�Fg�*��3m(�]��0[r���������
F@�
}&�������!��%��l���jS�3�+8n\���DX>o���O���v�3s��F�����\��>kq���@��F��<s =�����-�2
) ���D���Y��J���l��-��
��":nBg���V����YR.I,yd�k�>�-�U��������7�Y�O������|�W
x#��D�.�~�;h���u�������T%�� |@k�9n_��^m �3vk��]S�2Z���td����:{�U���k�R�"
HgZ\X�R[������)��e��
6��8a��h��
�<u��h����dJ�6������:+�5��D�v1
SBK {���.l����xmW&a+I�������
X6�)��R'^��Ar8�-)<�Eu�I
���&���="O<���Ws��8��M�b�g������e��u(�A8��E���=$�gKY���h���B&(���J���gC����p,B[�uVO�{Y���X��������
�b�
/��&���{#R<���P
]�h�{��W-��u>8�L*b��������o�w���B�_��{�S<�n6��h�|m?�s��eU�-��B�RL�z�m��e�)����Z�
f���4���,+
N����P���`q�����s7��Vu �����J�3�VV#�������!e���%�+ �
'�U�XU�\���=�?��^c�x�_k���x���n�6$�m�s
��c 4��2�9�6�D 9+�+������+�� &,�ARoY5HQe=#n���#o5��O����n<7�a"�a�[�m#���v|M���,������6`X�� ���Bi��v�W�[3,�'U�l���%LB?uq��,f�����L���O�bX�u�;���������
�Nl!��
,i�-�
5��� 3����x���3.c��,����1c�Ki�hK�C(���[�5]5�L.��0�!P����)��U��*|��(y���(3sa�le�
��������I�'_ 0>�a<v�-D�"����#!�-�*u�Z�d'X��N�A@Y�� N��H6d
r�z�����@�S�$
����mbf`-���
@��LbC�
I@�|�YEY�sH�1
��b��S&�g�x�X������k�������z��2�m)����`1�.�a���R������ �
��:Y�g�8�������P
X
�F���
����j5S�8h'�"�=��(���@��
���I�PB���6�c-��'Sh� ",Ih=\7������T
8����Sf��8�F:$�?�t������r�h*SjX�eqn�)��@��m�NLY�OH�W��b�Zq�F�7��2q��
Q+{��-�T�(J���b�
�
�
,��L�����$9&n�����;=I7I7�%������y����5)Co�
��5�9W�#������4 ���M��4*����Z
��<�R����� ��P�����X]��v��VJ�g��
��"��!?HM�����eg���t���F1f���e�J�Z �t�f�5�-A!1�(Je9x�C���-L^0@�bo]k,�����59�'I���K:g>����nS�O�d�h9�
7qg���mTV!��c�;k�M�B�
~p��E�h=C��c:U��
�j�<8K��/��[ef0
fO�3�!2S���D���W T�S
���o�r�F����lq�����[t��:e�r�
Q(�T����`Quk��9
S�m[��GJ<�����e���3���
��Ls����
��'��n������\����+7L���� Kg�-���P�����v���Y��$��IV,��� $���Cx\5�&���a:j�0�ue9M��v��@0�9�����/k��.�
/
Q������wH0 �w/�z;�S�^�&*�v���S)��1z%�L{��� l��(�{��6��P��jI�m����%�)���AI�����I�9J�b��RJAmW��@�5kk�S)������^����8oR���/��U
����jc.;�X���
"�
����@��7�����aV��l��$Zn����k�Q���V
��J�$tk�h��e�G% �����E�6WF�\�<���R8�����,I~������9�� �67��hTyb^u��V��6*���X�OY���F�q�9����21�)�{l�@V�_�r��P�pP&IB|
��Q��L�
�LF���f��A���.]E�
{�q
��0��I�#-R�$!�V��������VV\}<�<eu��,��'��}�8,M>(��]�`9��*����`�K����d
h�
�����[t��Y�lw��{��������n��7�Y�(Hl�3v�S���A*�R�,
y� ����)���V-�
��&n�V�;g�[u(���:.,��2p�9����#g^$��e0�8��b}
�9
i�%��K�]a�}*jz����b��Gi�a���
���{����?�G4z�o����E�,�A��c
��H���6v���(��
0����[����i���A���Q��$'z���u2!�x��Y<�,,��1�E.�+d�v�/��q��^4V� m�P$&������
_2�[��8��hc ��!�Ye���
�T�
�>4fX{�:%��;{+B���2�����1�I�u �"�v4T�@c�`C
����m��N����f����v6��VM.��s�wI�e9���=��sl�uX��*�����Fd��
��\8A��k�Df���
#x�s���>utZ�����K~8
2gZJ�LJ0�. 6�6+P7fC]o�
�U>]��,�`����6�=m�e�[*���Y��%�dn��c2�/�h��N�K`?y�6hW�����
/��,Y-�.������e��F��2�$��%�
�.���]y�j��5���
�\�`���_��*^N��~S�+��2�Y�4�ZfL������N��L����%E�QT����e��j��zJ����`�������$��4CS��������y����d:3���O���t3��js*UVo�08��6S����
RK��*����R��O����n�11��s�&�tS��S����i���Ev/��=[�E
��
c��\��b�=�U�NZa�A�g�B�(���I����l�rb��4�Y��2�����)g��R��(YL-G�h
��+��b����&�1Sh��������>S�7c-��1c���X��e���������I�!�������)�AZ�.��`J���on��Yh��������6��N��*@�s<����-�7���]�����o��N%�Z���n<�������0��x*��Xk20K�G�_�P���2��x�&$Bb+3X�i�t ���,���CZ��3"�u�R;,f�c=���w�;W�e ����
�������a��+�D�Bp.�
�*�c|i##
��)��7'%��,���\�F��g-,em����
��P���'�'�����1��N���,���0�� 3��j�w��
��Z�J|���Qc��.Ab��aI�S>�}������IJ�O�����bb"l�*�� ����^'����B� ���2�8�U�}��3��CP�:�h��������To�<��,��F�������$�T���^
+$k��������J ��:�v�d�P�
��$I<Uz���BW6�Z�1� �0(����29��.�\���j$V�X=�d�S����g�W
�.���R�Fu��YJ�$ym%
��<N�d�
<����sg!�{�E
�}F{i�h*%����g����/�l��g)B�����9@�|{ ����$kaD�L�5��[��1�Iv
���#���+��X��#���
�=�
��CO?���!�?>��_��Vg)�q?����,���(��3��(@hC�����M�����f���S�n6c��.Ad!�u 1�����6�0c����Yz�4�9E�J^jO����s�p��O��
+�:������7�,
R�xvQ-nU<{',��U�w����������BY�� 3;K,���$
Q�y���C
%�?[�Y�P�0��k��{�/�`M
<Z~a,.|���r�H��dJ�3H��
���*~��B&s��Y����x�43d�
�D&K������F�
@�6@�4
e[�p:w@)���1�.����2����Yu�E�m�B�s���m(�%&�Z�����]�>1�2s��E%�d��UM��6���!4���[��# 6_������m1\<���(���������g���2n�6x|��l>>���3�����cA��X�S���4h��Q��BC6e�m�+13�����}nY�f;1��sl��(�H��������0z
7j�]�V��1�
�e���[ ��x�/(���������9�M-S���)�|P��N��S�G��B����������
��
��=���B�/��S�`3����[�
��&�
��d
���jr���V��o���+Gy�ly����������
hBl�'
���)
E.Y�F��n[�����L������|��|���d�M���A��M�0�
W�Ly����^�i��ER70O��R�{Z&%�\0x�*�� ��'3�za�I!�����HyJ,��rJ+��d5[�8��,7�t�X�Y�<jg�V�G3�R�6� 7kGeVfl�dnz�7X����A83�i��j�$��
!I
��(t�y�<��
y�����5
� �g���X����Fi��o��U��1
3c���ISm�e���O���)s��}�~�$��r
ss(���@b�g)��
-���&D��*����Y��~���K�@%w-T�c +�W�[=.��H��;���)C�)������C6�b��B�c-}>�
��7RT
�� ��h�����*q���Y��),���b/�"m
V���oI���2U����&���D��&�md�/"���)���f,��ld9��������&P�^�
��>�_��Yt�=h���v ������U������G����������g��v y��=���O_�����}tz�����W����J^����������������������)
�>N_�������r������������ ��@|������}��
��=s�P�������Sr{�G'���_����O?���>���������4 �s�[���{��g/����y���'O��}��$
_�~�`�#�o ���<P�B�����en{qz�N..��������������Zq��}�������/]?���������q��������v~��/\��������^�������G��K�������>z�g>��g ���O�'������|�� ��>�{^}|�������?����R��}n�������K�e�V�>
���",a����|t���8N�d5 �L�O����%�K���
���������j����q��._���au|������g ~��l��o�(���j5�oe
6����
d\>Ol��
�
��E��,��K���t���'�}�� ��W�����~�������x���bu���6?��
���� }�U09G�l��oN7�������O2:�?��.�����P-�,�g;+�NV�|��a��|�_�oW�;g������������t��t�x�~��
����\������9\��{X}���XE����4��`s{i~���|��S�=
��������:{�"
�N��'��
�
x�'������W�#��|���o�X#��(1� �����~�l������'�V������j������������"]p?�^����|��O����K?��P
�p��y��[G�b3����c�����_�'�x
Xb����
�l��Y�=��{��{��o�w�����< W���;��[
-�o���y�������Q:�o~�
7����Qb�H��MF���I�����)�<O�r�yb�w�i����1��������o�.W������]������W������U:���c�� b}�}�e������Q8>��t�h�/�_^�����"���m��/��y
�g%��{V�|kB����|��g��|�U
O_��eg~'�m_��������>�zu����rz���f�T.�::;���hW_�� ������g�����5�2,oM�[Y����gx�j����<)r4�g��u��{�IZi�6�����P������W/Wu�*��������:���c��Y x�?��O��kQ5������&��?�x����}^��VW�
��+����U�^�8T��r}h�K,�f�6�o3X���]$U�^Px��8���{k��>vLV16&�K%EUh��N]#a�� �U���/s�-�'���4���5ga(�[IP�leh�,O)U
�d�,=�������%�oj[��z��N9����V����^m�^�z�
�����rr���K��aj��
�6,M6�
,�����\���l��ub���!]��
��c"�����Yb��������+�}6����3���b�,$�-���5L�8��>�x��d�r��tZA%*��3`
F���f\�)4R�Lv,���CM_ONJ9��%X��3��W7S��m���5
�g��
�b�
��b)���8|\B�RK]WO�Bb��P�=n
��`���N��h�w2�n����c'q��m�3�S)���*��f�ln
��K�����U�Nr!�{�~��D�c�E������T��9�zUK{��s��D�5mE�\Zm#�
d���
���ZP�z� }ym&�$��gf�G��] ����
b��x�Zj�K25��f�T����$��1X���
�/4��/Z �����v��e/Ov���<����sbh�5���j�-��X
�������/>����Y�v[�o���z����DH���!f�7�8�}\�� �*O+�0P�o����r�����yT!��[������-_��Q����&�b)���[O��6.� "� ��*T`
��9��mNl�W��
^v���"���g����3�6c%+���&
Uog�F����)��d+9nY��}�
����U�l����*������E��m5G;������ K3
L�<�%M��������*�������)Y����S ��@?��YT�Y~���o���KR-2*[iZ�.+
�j
s����&��BI�w�AUs���d:��
�)T�X��hvj����G���K������� ��OL^0�#�����f���Z��3������y�+���|f5��Y^/R���l��6�YY���{q�pb�����S���z'%6�j1 c,&�A�I?����UJ��L���
~�W���� N�4���^6U���w�6�s�<XV �>g
kO�=�l�Xf����K+���S�������bYKQ���%��-h��Q
����&��(4�/�Q���LV�����u��4��8b����-��%�)kn-�jVY�w�|���9�+?Y
U�����m?
Zo�������b������(�d�D���`�-��E�&��e,j��
�6s��-
&�������f�G=�����eG�;]�N��� ��
=�n���HN�
����G�@�t�"A����=k
N��,L�"� �&d7H�� ��G2aw�V}�Q�be��j�J���,v��T5���U�������H�
����NZ�c�?4v1�K0�9�I�
�Ea��8�M��GS���[�(&u�;��n�Y���T���d�����m��8� {�
"���rMy!�z�D��cOy�\IW��]=So�d�e��� ��WC����zf1Mf{�I�?6�����������g�I$��$MnU ��J6r)l|��n\����o���bT���Q�'|~��42v���E�L���\
�`*|��w���w�0`�z���
�,H��������b[���*vR
��n,
��������GI�����9�D��6V[�;94��v�
���j�&���4�ZV���v
i|dW��X�:�
�0?�e����lU�U� 8����6Xa��YW�Iv�f��J;����1d�,vhw�ZwKJ�%�8����-ES�s����df���a?H?����u��0Y�k)��B�Q,�������h�>;����[���C�*��|�,���63vY�*�L-��T�<Q��$���G����N��{��7�n`{-G���+�
0���0�V�t��Y��rd���b���B��1�j�8K�f�����u��/Z�o
����.e�
�\^�����I���S�A
�U=����W�
�d
�4+vD�j�G�-��E��TR{D��%��l#���2��$�
�H"
�je�������t���,��HWPGw ���4VU� ���mD
V�v#~�m�����WO��
�YT�y�)3�B�D)��6������H������fa��,u�UB��? �yIj��TYHOM��t{y8�8�����E�H+wd���O@!�L���e��f{��x�����\Xn��Ps�#�h/��m��Z�X�*b�U`�a�e��SW�����m���V�����r�X
#���9���!_?�n�j��!�
5l��$(���g�I�Nu%�8!D����t#65%F%S�5 �����_��:���44����=F4f��
�R�Zi����~����10J�����=13&*���1���E,������Q�\=�B%�^���"&�mQ!�w���'�J�x
���t����~P�"J�9Z��2S\"y�]���~�1�
Xf!E��<�W��B����X��b����m�0�����e�,�b�,���PL�`��(E���r5r2�3��/����3��N�D����
�J�[�@Qdr=�f�'�&@f����;����j��*���EU��:�y����
��cSK�
q����
m���U�
��!hcP�����h�a(��`W�]i���T�p��oA� ���z<��c��-a��������v)S��rQ�=�S�/h��������d�j;���)�nCa�� n���DG��.��/��^�A��s\�!��W�\���F%
y��a����C����We \6RZ���]b��&�j�Q����b���d w�(��G_�c6���H��Z�����}leb
�&T��
��&�'+���,���k�{�,�rQ��m���LCs�q��vv���T=o�e����*!c�q�
p��38;N���`v�XJ�}mM�X$���
4>Z!)
�A���,�B���Hv
U�J[oW�Fk�'���1�i��"����ZJ��X`Kb�*��O���������$]�����*/���-.,���E��.S;���X
*�=����nYp�R����b�&�I���;�FQ1�O���/��
�g ����2�����������$�G2R��,��
�����o4[���^��0k�������lIv }������PE��jlbAkU�\��$��s�nmC���r�d�(+H�=5�:����#-�^��ak�a����1JU����&g���a��+��n c����
����&X���I:�J]���A!��L�K�1vC���jF����tp-��K�q��Q6m��%���)������].l4
��[����<0y�W47����o��rg<�f�46������>
���I\�E�we�8�����a��u���X*��K��s1y��������?pc��2x�C.�m�U
o�Ls'��kl
>��.�S
H �Q����U����`)/Y������ ��(�^m���G.�
���Wd�?36>�ESD@;�Yx�0J
8N��6�#T��L�*������{��1�l
2��2����W+�����e�R��DtB��z�l��Zo�J23�Vb2����65��L�������^?���R�;�\S�m ���������C�.E��(�c�z�%���*���v8oI?.v��V�3�4Q�� {���77�^�~�w�^�5���Q��Q���6�~$p`OI�*����d%�������X-�
��,F���V�$6|m��j;V�f���z�~���P
��3��^QP:+�7M3����61��ml�2
!��3���>�$36{Dy��TO�KE��j ~����^&$~�j\����~
���B�����4�����fQ���e)�kuo4�0y�c'���� �Y��E���V[�b�\��Kq��-6�%�F[�@�qd��#�D�-�V������5
�N6�'{�@�m��o��~����6�lO����J�����m�I��ed0iD8&'���
�Z�
�����N����Tg����U�k�l�J�-�x]*?� {��9���4Lk7H{Kd��
�z^������*�*+7�;���X�9������%��h��d ���2�����U/�P����
$�q��,�:+T��JV�
gnUk��Y��������O�?�K���3J�0L�l�R��
���]���[��:pl
� E��9���� Le����VR�3����+�������f����.j�m��������V-J��r��|���n�I*CZ��D�QZ�U�����������3o{�
[�l������7
�[�������=p���~��u�6�~���f����;{*=��N��j�6��V�aG�
�:�f;c?gLNm!�H<���K,�2HB��v\:i����'����-�����1�;�s�����8�����*��@���I�*�*~)�YJQ[�������jL�|��
��nY=��,J���zb����8J�c�g.�s�����l�2C��2T3����W5H�f;ge�N�9sF*z�9y���#
k����b����B��3�����#"�Cfm��nRo��p �0W��������=���U���0���qZr;�l�c������(��]�g{���������U�����l��_a`�����=tC[�/�������QMl��ZO3p��Wm>�}�1����������fB��M�(���t@Fl��
�`�T�����R��I�)��eahm
N
FX��������2�A�LO�g�5�r��)m�4K��C����c�A����|p�8k3��f",�{���i��(o�����>l.M������a�
ed���IRV�/
�b7��� ���#��6R�������<��hlw��Im��N�K[
F�!r�`Z��VQ9�#
��(�6zc�G��� �.@�����v�(�FIX�������$i��nl�4MJf��:���XnF��^��Zr\~����dB�(��TO�V���1 T��i#
�<���1I'�
����^�Lb�P[��
������G�6l�6RO��`� e!1A�qU
%��h����SB����"�����k��q�L
n�� �d@��qp��>��"
&���}���0�L��V��^V����Y���A�h98:��G���j�H:J��%UyB��T$�RK����v
�*PV�S��q�L�JMe_
�!�R�`f���$�#Tj�����R�� U����M�db������1��:s�F�3���'�\m�R)���X(��V�VV)tzp��W��O���
d;n ���e2������T���d=`�����q.�d� 6C2������T���r)�X.�x��Zs�����`����Y�m��Xof�2�;��A�����`�.f��*
��a\������eu��~�Q8B?z���,I�������X�:
Fw����59Ya:k{<��!tn� ��-Sg��yW�6l��1'[������lW��,
0h���}I��d�p�����|���M]$�U����0fNAh����
�++,�,=hPl��0��
IiB�flzi����%���+e��a0&�K
�)�PX��L��7]�m��h)f�C�����%�RHE ���D�c* �:,:]���j�Lc�;�ADY'���K��������n�l��4O��
��|�Bl��d)
U
X'�j�6]�*[����
d{��
�^j��h
� �Bl����k=]oz@~�P
<����e �2� �]g`����$�s���D����ck~�����X����Yv�J�g��W=`�Bp�
��Y���CT;���F�������E���D����M���}�%��=x�R�>Q�<�B"l.���dE�z @�F�[����m�B%[�Q,�9l�s1W��ec����H�Z�|����J�e����*�����fk2ze��X���� a
������n���
H
f�N�$=�lL&�(���sd���6m�����R+b6��T���~��.�c� �TU�F���0(�;j��������n�eL�}��Y{�rE�6���$Z^�=x
g=/�
rj�c9�<��Y��S��s��C�h�(Ol��e��:��������R�To�#Xf5�[=m_��/S�L�zjI*��Hl�2�X]�-H~T��R�c\��fC�kK\X��~�"��k2?�3�Z�-g
�mp4%#�J�2��������TZ�������B���&�F�>6��
��L`Z�sA�D/Kqg-�l�}�/� ;�~����o�
fL�� ��C�V&����Ti���p�gK�V��,[ �K�R�����M�m���E
`^uRS�T�of�������zUX�('��1a!+#�N��Na�i&���
F
��bQ6u@��M-�:�n�zs#�<J�v���A)�d ��}d ��1G�X��
���R�1
*_r���{
66���=�����3�-Kg,��,[������k�J���#8��I>��!m)���%��j2�#6�F�B|���b����V�'��pV�f��]����� ���m�[����eHP�5S���I��$�V� ����2�i�uJ
�K�S*����v�M!�qB�"��AjIP����e
&��&��
+S 3@3�Q�mH,~�upw;����`b�giT�8�A.QB,O��&s����*
R#����-������d�K�&�( ]T�NA
Kd�4����a��K�4�_�U�E��bm�f�`���
eT��AIx@K#�R�������u���E^"�"+Z�=H�Uc�$�\l�
L(�z{�C,<�;�����Xw
6�d7E��c�{������<hDQ2kz����@��%u�Y�5i
������X�V��||����@6NH�Jn�>5
��r��
��SM�q'���B������l��X\�:H<�Zp�U%�p��gE�x����0{�����yv"�fI�d���@���|�<0H���d�T�
V��(Zh�ya�
A�K��Z.�����5X�����Fm>sV$��?tl��IQ���!S�K�#[�g���q�`n�D��\M>h(�<���������-6��(��� �jD��#�a%.l�Q��) �p�+���5�%O�E3���
FL�� <�� ��8�
�g����Q�����8��u��#>���,�Vv���l��ejT��,��m
C<��cFky�Kg+������V
d}K�B(�XH�G��?`�=>-%O�W���'@��g;
R�B1_h-<��5J
I4�e������$�
kUl�!vR�
�����:s6� k��58�M��b��/*-[[;X�pF��?��e5�q�v^�G��rA�g����i���e���L����V1L�9�'��}�� �MJ��
�Q~�I�?Y��Y�������6Cz�8�2����!S7���2u�T].K�WX
�Z)BK������j�� J/ac�-������Wj���
�����B�����Q����
�-7���7��k�,���A��>(�����IP�96[J���R�QF����vf��ke�1�lD����O��I1��
��n��d��J>K�(������e���m��x�9U�eQ�C��Y ���<N�����t
����f0���o��,r�2��V������zV�,��J����5[��V���JSQ��yX
x 1g2{����ZY����Qa���
,3^���N����H
�V��
HI4��S�qo�M{M�YFU8$�w9���}�
��<��B���]b��9��D
U��9y�p�B]���V����f�b<G"e����W�D��Dk��$;�>e*,��X��j����>~�W4B��Z�B����q�
fl��KK� ���U�"@a$c���O��SS���l�R��) �4�:z,�T�D���E��j��W�Qi-�nJn��"����P!�W���� �����-����d~<��E0��L��vg����*>H��8�����d���"K�a�*��
M�=[���v}��!`�C����a��Q�|�(
Gk�
c�j�����[�\��E�
��D\��vICV���N��<��%���5�X'��>�e.O�M�b����d Nle3 r����V����
�]A�F�ZTN�'��*�X����f�r'�R����
M�fS�
lZ�#�t�U�qD�F/+��s&R�z��Js��R����
[�j�%�
�,��d��
��
@��9'b�!|����������F9�m[���L��n,L`��:L�-V�X��o����Z��
��#�u�ZK�}���/�i���]�����w�6��<o�����ZL�Bd�~"o�Ra�����[��*�S/���g� >�W�u��k:4ET��T`$s<K5J==����n�aA�2��|
��h<p3�
�ti-��5n>-K&��* ����S
zY���O�R�Y��N�v�����
�"�d/M��T�0��dew&����a"������q`m�2D'���+%�Ua��7�P�\1
R�b�����7f�(C�
����I��V$���l�,��L�>
Vh���zK���*�b�IVM\2�������c��ZYv��$�������]�=�{e����*o��A�U,��
~����5���?]~��7�� ���
�w�scc�����~����7���7����T<{���m��e��RO('�s�z�N�V�
��
��Y
��0e�2�.��.
�&&��T*00�RJ<hm�Ne���=�m
h���+6'�������1:�1�j���Xjs���|��8��y'���Ken �����5���~����I! �!�h�v�dRc�������2��Fh�@J�<��(K��Y��]M��Ab9�&�f�)�*�n�q-.�u��jU�p
�z����_Z�LL���m����
�L�;h�F�Q��iz���\C0cl����
e��mc�E��r���! (U�S��6�����u��ne�?|�_�x
����DX���*���\O[�^aF:����
A�
��+l�
��b^��F8!�
����i��RX&/�
���Ea�C6���; w�I����6-n��Ye�Y��F�g��]1�Z9�&�f�j����p������X����V������X�������&�#pV5�6Pgj�
{`�m��5'P��'�}d�h��2z�9���EX�.�c�`8�<���g�����u��a%�<������������i
����J-U>�]s���*�����V�Z���LJn[Dd :
�9�"��H�.Qe�],�L�t�r`�w�J�4��<z���z��z����GKC���\���JM�E����:��0�N�v�t�8Na29��J�7����aq�"�� ���P�
j�G��L�5�`�����6�d���zN5��p�����c��������^�Z�. ���4T
�wj�ph-
e��]� �G[U���P^����o���
*o&��bQ
�s4Ux����q���j��gGA�RTM��&H��~�e��=���XI���
�
;�v��f-���b�y���T�J�I:Y��SlT9�*��j�D��
�����T����`{�s;�xm���h0��!c?@n����&����!
�{P�u����x�So����f��0
�MN���sw�������i�- �:�6�-�mS����Kk�K�7���e$��
��^����"(F��!����h�'��=42�����L�r�D6�([e�wJnO
9��z
�dM$���Y�J=%��6�Z���`�C� F,�8�R"z�[��%[<%��y^�1~��;Hv�Wu�P�j[Al�g�z�����0Vv1n�dgL�=��
'd*1����;a�����|x*Y�M���A�&�n������`C6�%1����9q�J�/�k
emA�R���'
�jKR\lK�����`
C��4t����r��^��`�����^���
`��/ p~��L-AY'u�~b��f�{j���\����kM���%��f
���A.��*K�{��(�2��c\�8��g��`v+��|��*�W�����h�X�%�PKD�������
��Um ����c
kUr����Y�h�8��y�Z6^)G������
d�a�e-�&u3�(Lk���*�L
���vs��$�-r���w4������7�=w�^E�[n��V����pD����u����l�-����0�J �������������/�%���<�#:��Y���nG�R���=P��a��X��
i7"�XV�:��U[�R��4N����������q�^����Y�� ���Y��=i��(����z�c�/� �����e��5�
��x�l�������l>�M�e��F�,A��6LR��^���Lx����U�M���E9�<VI �h�`� ��Y��@�\���?YV����
��P�g�un� ��l�t"
y��1���������\��$e�a��HO1*=57
���|J������-K������
��t�Y��B��0�������"���cG(3��* ���
vp�����3*9��qwP�;�o
.w`vd��j�y>\h���������7a
��I��%�����{F����L�����W6n�|@x���"E3��������\���r���v�N� `�E�!Q�������q����i!�p��J��S�T&���#z�����S�������T���M6�5��R��P�����!:R�xi,�Y�S��$�)b6O � U��b`����P�{�}P]���l}��H��'��
c�=���n�9��W�u.nau61���RD������'Hxz���Z��X�E53@�5����4t�<=x��_��4�
bf�&��L�hhJ�{VM(W�3�T� �V�c����mU�Pp��;����X�6:0^�m��v��--�;C �����.�Y����6��])�<�5��S
&��;lC=��c(
���gs�}�
������g��"�����x:��FYt������^VD@D���L3�d�������!�MR�7D�Wg�����HU�L9�1K
$�>���v�Q�*=v��zH����M+dJ�����6��O�[����Q�r��y�f_�+:�����������Z��r[~�}�$�il�1Q�p3����IPa}����EB���\�
_�u7��Z�I���:X|1JZ�G���Z�V!�a��01������fA2.�^�F�5�j,W��^EB%B+L��q����B
p"
��u-��J��1
q
kNb�6s��,�(!�u ���$b4Qa��h���&+x5R �k�5^���� ���p���@���.*��9Db����T��ma�����c (��cKu �AY]�����d��m�\L9��dq���&|�K�_\V� X��`9�,�W���)�/�2SJ���,Km�f1{�pF��$3a�p����%�)U*T�
�^ Ge~3���+y����NV�+�i��@�]��*TE�;X�aa�3�b����:y�{t�m�f�X�?p�P5��n�,�R��v+y��%@�-r���N8<!w"��mf������|�`v��� ��
�WR(F����Q���t�4����E�D�we��Z(;*
`�D%�
P*Z����3_��U�#��g3di���}N� ���1����5s�,�~��\���>m���F��
��R���V&A�'�&pB�]����+�� ���
�LnL��p���'q
�(�r� �y��sv����C��'
K��J���bZ�YQo6"�
G��T.H�E�8��w���<��a�����8\�aAs[L�@�w3K`�'��������)�]��}x�B\�<���a�2M�I
����<��
>�jO�N2S�������Q�1���H���`f�(YOS(e7�N���^%tj�Z�`�F�;��03{��Xc�Y�Pi�T/t�k?��u��
`�N����v��`�����S�nkZJ~��d�,�T��7�fq�\� ��y�l
�L���p�Ygi�Q�p�D
����S/t2����'����8�Qv�5����s���{L����UR����(���n2
,��T�+��
F�1�HV�.
�8��p
����L��w�p��Q�C:u���
v�
+�����J�Zy�h
���x2<+��rf��������s�f�����o������ �[�h������"�f`���J\�Qg;��mf����r���is'��E�
�,
��������y��B�<�
�����b
>���'�������m$K��:�
�2){���
.�����c������8v��N%������+�y1/�����4k��00��r e��\-x���14����@��Db�@ j�E��������� �P���REJ�����i�F�
����
��*h��A�[l��R�f������:ve!�8
�����K)f�d��$1[��
`��N��N�
��Z����S�U{��-6^�(��'L�
W��h� ���2l�GO
B�.��v{��f;z��>��zr�3?k���TO��4�Hp� ���j�u2��|���X"f�aZ���z)����
E6��? t}�I\�d��2=�m�\����I=,E}
��q�
Wf�K!�����Eu�}&�d��*R�"?`2�&W�n�Z�t_d�[���3� ���]0Y�P�Y�����;����ty�RY���6*�w���!��o5x�������6o��pEF�
����+���Q>,������!7U�k�7�z�6�
�Hz�O�?h�( i��2>n:
0
�=s���|c�E+g�� a�K�d��0�����f��<�������b������@�U��I�v
���.�.u�[�'�.���yC��,?O�������/Wu�?��;����H��a;����-���D��gb��IPa��H
�,��c*��v�������Xz8a�z�}�� �q�EmJ?��������-�+�����; 3f�U�r��+=���T���[]�����N
L��"
�$�;M=����Sv������z=}�
����>�����zi�\����W���mfT�D���^�;4��G�={
�p!��
OQG<TSe*4���3*'-�v�qs���'D�������@�
��, ��g�����������br��$!t
H
K�����[��i-��
��U�s�nF>�����������,�,lV�y�f
�D�\�b��2�u�P��y@Y���s}<;<u��&����,�R��"��Z&���L��=d�����M?�����37q+$2�����x���L������FEd�G��en��[��������*
��5�1����
h�&F
h���gv1���
Y�[%o�v8���-
�<�&��/)
�a$
G�������Q$�5�W�h�,��(�$B-�����fQ�,�Z������E������:z��j��f�%t�fa����k[�1����]
4
�K��:��`����5���r�D���a�����
�yC
Xc�#�A&�AFO}�ZI���n�
f�0Mq�!
�b=�,�mp;'�/r'����0_��Y��Z�B����J�j����,\h&�s��pT;��I1s(��<��$�-~%���q�#����������:O���d�9P3��%�2�D�cEY�7����-�m��+e��aMZ��� �8��z���G!
F��f��~�y����i�a
�b����Vh.��P{X���
���)3F���%%���sUk�I)�C���T�M�w�m�\��g���9�xQe����������)�����W���b"g
��Qf�`����0��u%�_[�~��������~~�P'�]��M�$jdY�"� Z��n����'f+jg�;��
V@r
�
��B�9��&��e�����}��h/7��S��
��
6�����e5��U�,!F���x<Y%�5��t�
�/.A��R<�F���26�� �T]�F���
�����u�*T����j�A�A�!y��Ni�Dm�5���o�TJ�_��������l���}E�PJ
iS�3�5���;`���1�<��.?�@�5[��uu���X]�!���C~r�:
�X��-�EV��v3����+#���0=��:t�X��(ULc��[�!�t(A#]Y����d����F��$A?.3Q2+ym��-�{��[��D1�xlEK�M�hy�,�y*�2
��/�s���l6����������nB�In;��$\'Y��KCcO�;k�yP��\a�R�z0\��~G.���E
���^�`�@
�����%r�@d�Y
K�00���
�8�����v�d��n�W�������;�I"��o�X���
����PI���N�,�#_&�)_��e����9�j�]�d�
��`aJk��d�������Of�raX��C^���*aRV�=�%�"��e�<�v~�
� �o0�m#�Ze�$��H�`?q�m�iU��OX
�q.�T1��wV_9f�������E������KPle<IUe*�^��VF��\��aM�76J�����2�`�l-�hX7+���ui�RY,
O1�Pe)
�� ��UXH�&MbiZrKa��cB��V;�h
|��������s0�����L�Z
�_%|o
�W�H�o��RZ�o ���w���[��k6�+�\O�Y���V \.������rl�`W�F�W��`j�6[yT�X�h���#�Qc�{M������0c�e��y
�v���%L�*��r�r7B3��R�6L�!u��mkJ��<�o�x_�,e��y@�e�c;x���s��t���'E��h\=���^x�
�[C�3]�p��u�]9�����'m4��U�
<�
-��1��Ig"[%����\��������4=*e{� M�i���.&Ck�����Ph�x��`*���lf�';��f
o�3NmO�;�����"�
!�P�<����=-��cm
v�2���")i
�e�:Qdn��N��_F|gt��W�:���#��S��K#!e�kE���L���Wr� �9�K�*d64�g��������Ze�
���w��h�u�z3
d���
�T�����,�-f�
��X.,��� �R}\7�+jPI����Mu�MZS���.
)�������<f}N���v,yuRP�0���`���B�
v,F�F%o"c0��\6�TK�&�UX'������O��-
x$���������h>����X�
�A��\1 H��~|i����G5z���|H
B�mA�b�G�?�
�FRs�P�'�JJ3U��F�Q�Gfy��Y�&y��(]E����C��_��1���n�^iVz^I�2������C�jK��xD7:���-����
I�i��QF����]L#�����`�
�J� tOlu�����
���q{�h�c��8��L�����fv�a��<L��T��KO%�:+��l��i����il�t�����L~V71g�K�a�Y����d����c>�������z��J����g*�`41Q�Rh��g�$���s �C��I�?
����A�h��`P�R����M�'z-`��������L��!s&� �b�%��s�`�WX���bP�\� �����=�������X�$�T\RY:�_R��%��������eJ��YCCnZ�h_�9�����a%�
��[V�@���F�h|�� �Ym�q��k�,T
��2y��p
c7����
�s*��;�]��B9�AI���Uf�I��L�� �O���X�``f�$+��]�C"���P���K����E�b�|gi���\�N]���2����=����f�Y�fdc���
m�ey���vFX*b����(7k�!��7D�`b{O�e��fE<${�S���O*���`b&5 �o���
��-�0i@
v]�@K���Q"K�-6�m�P�|�&�K����=,D�u�ujdmK���.��`���[��r9t�-�T�xA��
i�����
��<k:�MS����V���������o.q��ut�5������
1�i5
gbE�cq���
f/��2����� 12Ke��'�a"q�D���o���e������,sO� 0</�%Y�`_���Lv�K(�Hs�%�=��� ��J��7���LO�MnU���_Obq�Zy<��< �T@XJ�P�j�������� ��z�WB�V�����}����)ts�k���q���)����u���G�����M�����9��HM��h������e>EvO��~���
`����yI�l�`��Rd��e�\��vZ�t�r<w�O�Q���
�
��8�P����d�93
�z$�����w�J���Fo�;ep��d�*�
v�5}S�m��;D��~�6V�r'�X�fl�z�<L������Y1��c-�S
��/|�$������k�9���
w!5hR��5������ma���(g.�H��l��jR����J��e��]b8+;`eb�V>��>��R���H�$�����`BL�P �:h
���
k'����{)�j%�5���`rHFS;�Z� ~���e�����f1���!������e�2`L�`(�,��6L�U��|�#����'[k=�x��I�R��d�"���71��mWbhf\ag���A4�����U1�w@P��hV�H
��!�'5���^�)�(
}v��]������7OQ�R6��$ [n�R8W�=�\kC�FV�xU�h$��v�<����V
52�%��O�����IS
p�F ���=��Y�,�\D�K
TY
�]Vu��+B
���T���F�=Df6�Z���%���3J�,!p4�������5�XE�����s�,lY0v�4�?f�kFs�`y)&�$#��g�Y�"FQ��)�(�j\y�S�!�d�+������[KDV=V�!�@7L�=�"y�wj:6�[�:V��,�7u��I((c����ko!p+@�A
I(�[���<u�
R���/�
������<
l�
�$�j��$0*!���\���;���~���
s��|/�d3X<���<�X�B�V�PHk�����.������>P�M��FG}U����~T8��g{���)Z��j
�,�bc�
�p����)����K&y�W��
�V�ZW*4�t���B
��SS�6���jC�)�K��S�_h?}���e�
�b
��cg������
�21r���(�ZQ�
�D��b��g��Z?�nd�U�����|a#i2�6d�
���=X�>g �Z�;K/�D�
�t�LC�
(�����H�P�i�
��i����������U~�� ~�|.� �s�!�HKaE����K������2}9�R!��R�Vq�
�-���
j�/2)�cjM���P����s
������R������4/=���x*E�
���bh�&�D����L�+l
����I���r*�fc��*�d��2�S]*1�
������UT*t��
iU�gA�����{����jL����h�T�Q����+�0P�a��q�~������a�u�O.�
Lu}n.p�a����3 ��&V���V�t8�����FE�k>�\��fS��X{�1�j��&?.*�
*�D)m��\3�:Q����<I��+"����O;z���ghy*�N��7I������.@��C[��L��
����r�Q������+,&����
�)�����v��9��������X�����1�<
!�
����
�D��xY=l��\U%�~n] �uT
+�n��H���,�\�4��-�v���^�.���u;s[�Sn N.�[�]Y��_�X���A�
xE��rE�P�8�
<bE��0c%-}
w����L����e\��7������dB Bx�=�k58�q��L����J{w���X��0��J +`v��������j
D�c,���3�X
���s�������,������Z4Q:.2�q����[���z�!Kd�@UE��T�k��l0����������
�p�wT�����r
*�Nu8\�cx����R���'�Pwt�r�Zy� ?g)y�G �){�HK��m
�I+z���Q6�����b"�P�$�6��g��1G6����Zc$'b���N��
���C
g�O�T�P2�lqO�,���W�}.��*�~Tg:���K�
�j��cS�v������srO�K$����|N��(xL+S�������u!�����
�X��eOA ���e�
����7�(w�
1�ac�3�h�j���*��!�nR�3S��g���5�b�o�p�\��
�-�������+�bM��4S/���s�6L�,��&]o����<?���"{\�T%�b�V3%�]�������EQ����
O���
����5���Q�UI��_����M=��)��p2����E�X��&oh��������Uz����^�|���(��_Z(�u����������S��Z�O_�����������>��������'/O�~zv~�������_���WG�q8~yz~t�����������
�Y��4���
{G'/ O��������U:��^l~����������eN�&���_<_
E��
>~��;����?z�:�G�����~t�f?���o�o���f��x�:����!Z���o����
�m~�W����
���jS
��U���)�&���yz}��fTW�W���t�huqt `�O�_�.���N�/��b������\�������]�������3������o �)�j���ts������6#��[<��. y���ruz����������
K�;��!�x�:]�����]NG��o���W<�������|��p�����G��+��������.���o��,\�
�������Dpu�V��G��g��|�Ox���_]�
M{{��8=O?������<��o�����g����������������}�_�}����p�o�b���Wm�W���{��"���x������/��lur��0
|�v�T����|}�����O�+��`u��g_<fA��Y~�������`��_�w�������(su��
��G�/
`��[���~�a
���=f��\?��������j�}onn�`w��s ������
�����G��<\����|;
��������_� //_]�_|��W�G���������]����;��?�N|u���A���1�yG��Z}��#����l�����\���.����'O������'�������R�~��������8
1���?����>\���$���g�?o/���N{�;YM,��
�.�^�WO�&��\�'O}8��������_�����������{'?��*���
���o�?pvu����{�V������/����������X�?N�
����o�;�����������wv�G�?��
������>|�O�6>�q������G_��u�����|�u��w.���������1����\
��9���;ya���2o�$�7�d���y��o5Dg7.����h G����Y�/���._
]<���o��6 z���l��u2����g]��>&bm:�u��� �ri������K��^�����{c�������Y���{���{f��v�
��������
^��W7������n,6Cq����;���y�V�
��?Zc������r�2��������
����?}���}�x���aCw�����|�'��
vw���[��}��xY_����3w����(���/��aD�������G'U�����#��O�u����cx��d�WnD$���<x
�/��������I��q��
P~� �|�����w���h��jN3l"�5���Z��8]�����W��������"�� yqt��Yg��
�����������J1��������
��g�N�o����{����?~!R�e���������}��g�����W�����;?����<��C�����;?�|��
nB��g42���w ��s�y�����I������-�����l �@��yk�l��C��5`��V�<��M����Q���F�����k�l}��w���W�#��\������ZA����_
�E��q�����/3�~~
�N.YW���&������������?~�����>�����wB�?���g���'���
����������*�p� ��/�P� ��w�[�z[�o���Bm�����/��a��3��|l}i�}d�<�@��a���������W<��[z�{����gc8��a��������"��^��tT�.�9����m�n�s,����+&d>b�/2pz�_���O7������VO>X]��c4����O��Z����sU��<Yu��W�����qtrd�e���!�.2D� �����a����U�#p������>��������
��
��������;��������1z�:1�3nB�h��h����>�w o�������(�#��������������b���.��||�r��V�W�g/����l����;�/6��]
�?�����
����[_��k�������k
�G�x����������hX^��J���/�|U�Q77x�.��O'v_�����=�W��%�u���{��{��<`�W�4��88I ��#o����;Ow �W��������.�r��v����^�=�t�����������S���^l����Kl�NX�����"��t�u:�<\|�^�8=1a3]1��1���~��*��yb��b>:x����^�]�����gk�����}����������a���/>���^������������f��H>��5;����.�3�w���[��U�'����6�=x�����,���?p �}i��7W���V
9���]x�xrygc|����]��W9}�������?�E]_~�X���zc��N���*9p��������f�s\���:�q�����\�����������_�������������������(n��k��y�n��Ey�>.24{�o�����[�n���[����_�G'�����\x�q�^ �wj�� ��� ��7#��r�x�����Xi*�qB_vo���b$5��^��O �X�������ou�7}�>\]]
]~�_��;+�������s��������:��X}tz�����W�����
��qUT��-R��|����t
����������"�8�:��+5�V���N����7'G��
o�W>���N�����8�����4o*
�/>�5q��>^���>��O���7 }���/�����g }�O��4<�;�o��o>��������z�Kz����������I8~���7^������������'��������o��NO����O�yc�?�
��e��o�uN��Qw������<�7tq'�W�|�Ss�'���������,�/��C����5�}������%����7������ap"�y8��� N�pr������?�q��x���[o��s���������W��K�����|����/r=��>�@����_�<�����)�X�M���#ON�v��`@�J���q��dZ�� |�V<y��N/L���9��6�,��b�-:����K���|k .k��}�G��>���F��.����tqu����������+mo:�|����x��E>u|{ut}!I�iH���������<r{��wVw�\O��M�������������)y�����������7M��U���b�:�_���?_
9�^u�\l�����^/���{���<��H�/�{�{wb���-���u���fY�u����:Oow%����p�M��l�b������ ��6����c����&Q��R��:��6�����H]
�\��#`��p��?�D
�>�\�^w�X��/q�%v��'� 0��mf!�7g�o��W^�E��/���j������#�6������v^J�]K <��o���j��6[����
��+|�>�/���Yz��p�� |��'���z���rE\/���rs���d��=�Y��3`�y�k�s�r_{9��� ����
�0��7�������gxm_��&�V�,��
�W/�*
�����xu���0���p�����
�p/
������?Y;�� ~��?y��P��g�����i�
?_�.
�'��Kf~�+������Ul^�m�V���g������G_�������yqg���um����,���>-�:
�y
�v�t��|w��w��*�R�|���;/]��;��X�;o�xys�yr��v�}�*�g��b��_����
���3���n6��]~a}7>�+92/������?y��������_`J_`V�w���z�t�'�����o@��H`�v@���?_���|>������1���/X_�j��z�V���??Z~�~��G�o0@o��W�O^[�7~�l��=+��o��7��7~�r�����/|���f���_o?��{�}��G/�+���
�&�y�3�y�9���E�|q����0Oq��#�\;
�}�����_=��w���Wk����o�������=����� �/�������K~���h�{hN�����'�������u�t#y�
��������|��~zc�������������Y=�N
<\�s
���/������goO�z~~*���?����R����B�q=��x����{��qx�����?{?�����������������>X=���
�# �A�{L�<����M���`�1R���.��n�i'�������� m���*?��_m�|�~~��������~�5��w
�����"���|���o�]@�<=��/~�����*}zNK��l>�l ������ ��"_�������n�����^���0�������I
X�F�������7�����7����o3������{�����1O������t�z�>���L������!o���cm.����Y7����\�E�]ovk�3Z��`�����v=9{���a]K������wos�_�������.�|w�=|c�s�K���E:p�����B�Qf����9���
���Z���X����-E���#�����v��Nt��rk{7��������z]��l�^ ��������s��1@�x�������������V{�y���A��uh�����]P���������qN���Ifi�=O���4����,�_�N�.
�5�������\�����hu}���;�:�qw�n8��r����s�{���
��z�;������z�r�
�� ��\o�v��<������
�������|�rc�*���#�@<������)��_���&����*���:�^�Z/��V�^�_&���m
X��������M*����Hz���~j�4��
� a���p=�8�u@�����\�s������H��Uo_~rz���X��
?�_���;Y��wO�&��
��~��������������^_c��6���N/�.�C~��T��|�|R�����x����
=�����
��
k�<h
�k��|������V�������^��7o���+
�f7��hu�7�7�n�]��nn5�C�������0�~�v]%y��O��]�
g���X�?|J�&�~��!:<������q�]gV����0�����|sAl?����������g��Nn�����V{��3��4l��{Xf�;�������zSm��
�������f�=o���6��
oJ��f^=��������
*��[1�������o�����w�k��;���� �~��T��"������; ]/�[_:��������_���\0w�/���q�
��k�� vW�=�E_��t�
���
�~��U����9V�6��4(Km�
/�����f;=��1���58s�� �����OSo������B^\��O��r��u
�I"~o����~������mC�u�I&��
[����c;�dm�t3����?�����\��/��pP������G��������Ln��������~lc1�����w��>�����M��(�s��������MFw�����zn6+���uT������������>Z�������5�������6����+����.�~c������3����>����8��7���G����Y��u��n��W�n�l�n��n| ��}��U����n{2�M(���k��*w����:����������G�n���>����|�C��(�or�;����q����������0�������#�����]�t`}�@��H���K��L��}����k �+U\��/^<�lH��+�<��j�O���T���]��x��QqV\����S��-��2�����������0��� �j� |�uzm�p �o�&(�9�[��������H�~�<2�� ���������nq�5o����3�z�������`S�u��Cmm��Ik]J�:�i��i.
?�
���p����H%����������e�Y���[�������o~�m<��e�qz;��W
�
�qo��!n.�c"�%�����l?*D��P��f�8����$��C�^�
��W��������4]��)������o�)�(�*{�������|�
>�B�wn�cx���!��qm������\�-��2�?�������IU<)�}��?��Uz�On Tue, Jan 26, 2021 at 05:53:01PM -0500, Bruce Momjian wrote:
On Tue, Jan 26, 2021 at 03:24:30PM -0500, Robert Haas wrote:
I'm wondering whether you've considered storing all the keys in one
file instead of a file per key. The reason I ask is that it seems to
me that the key rotation procedure would be a lot simpler if it were
all in one file. You could just create a temporary file and atomically
rename it over the existing file. If you see a temporary file you're
always free to remove it. This is a lot simpler than what you have
right now. The "repair" concept pretty much goes away completely,
which seems nice. Granted I don't know exactly how to store multiple
keys in one file, but I bet there's some way to do it.We envisioned allowing heap/index key rotation by having a standby with
the same WAL key as the primary but different heap/index keys so that we
can failover to the standby to change the heap/index key and then change
the WAL key. This separation allows that. We also might need some
additional keys later and this allows that. I do like simplicity, but
the complexity here seems to serve a need.
Just to close this issue, several scripts, e,g., PIV, AWS, need to store
data to indicate the cluster encryption key used, and those need to be
kept synchronized with the wrapped data keys. Having separate
directories for each cluster key version allows that to work cleanly.
The README in src/backend/crypto does not explain how the scripts in
that directory are intended to be used. If I want to use AWS Secrets
Manager with this feature, I can see that I should use
ckey_aws.sh.sample as a basis for that integration, but I don't know
what I should do with the script because the README says nothing about
it. I am frankly pretty doubtful about the idea of shipping a bunch of
/bin/sh scripts as a best practice; for one thing, that's totally
unusable on Windows, and it also means that this is dependent on
/bin/sh existing and having the behavior we expect and on all the
other executables in these scripts as well. But, at the very least,
there needs to be a clearer explanation of how the scripts are
intended to be used, which parts people are supposed to modify, what
arguments they're going to get called with, and things like that.I added comments to most of the scripts. I don't know what more I can
do, or what other language would be appropriate.
I think someone would need to write Windows versions of these scripts.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Hello,
I don't think it makes sense to think about committing this to v14. I
believe it only makes sense if we have a TDE patch that is relatively
close to committable that can be used with it. I also don't think that
this patch is in good enough shape to commit yet in terms of where
it's at in terms of quality; I think it needs more review first,
hopefully including review from people who can comment intelligently
specifically on the cryptography aspects of it. However, the
challenges don't seem insurmountable. There's also still some question
in my mind about whether the design choices here (one KEK, 2 DEKs, one
for data and one for WAL) have enough consensus. I don't have a
considered opinion on that, partly because I'm not quite sure what the
reasonable alternatives are, but it seems that other people had some
questions about it, IIUC.While I am willing to make requested adjustments to the patch, I don't
plan to work on this feaure any further, assuming your analysis above is
correct. If after years we are still not sure this is the right
direction, I don't see any point in moving forward with the later
pieces, which are even more complicated. I will join the group of
people that feel there will never be consensus on implementing this
feature in the community, so it is not worth trying.I would also like to add a "not wanted" entry for this feature on the
TODO list, baaed on the feature's limited usefulness, but I already
asked about that and no one seems to feel we don't want it.
I want to avoid seeing this happen. As a result of a lot of customer and
user discussions, around their criteria for choosing a database, I believe
TDE is an important feature and having it appear with a "not-wanted" tag
will keep the version of PostgreSQL released by the community out of
certain (and possibly growing) number of deployment scenarios which I don't
think anybody wants to see.
I think the current situation to be as follows (if I missed something
please let me know):
1) We need to get the current patch for Key Management reviewed and tested
further.
I spoke to Bruce just now he will see if can get somebody to do this.
2) We need to start working on the actual TDE implementation and get it
pretty close to final before we start committing smaller portions of the
feature.
Unfortunately, on this front, the only things, I think I can offer are:
a) Ask for volunteers to work on the TDE implementation.
b) Facilitate the work between volunteers.
c) Prod folks along and cheer as we go.
So I will start with (a), do we have any volunteers who feel they can
contribute regularly for a while and would like to be part of a team that
moves this forward?
I now better understand why the OpenSSL project has had such serious
problems in the past.
Updated patch attached as seven attachments.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.comThe usefulness of a cup is in its emptiness, Bruce Lee
--
Thomas John Kincaid
On Thu, Jan 28, 2021 at 02:41:09PM -0500, Tom Kincaid wrote:
I would also like to add a "not wanted" entry for this feature on the
TODO list, baaed on the feature's limited usefulness, but I already
asked about that and no one seems to feel we don't want it.I want to avoid seeing this happen. As a result of a lot of customer and user
discussions, around their criteria for choosing a database, I believe TDE is an
important feature and having it appear with a "not-wanted" tag will keep the
version of PostgreSQL released by the community out of certain (and possibly
growing) number of deployment scenarios which I don't think anybody wants to
see.
With pg_upgrade, I could work on it out of the tree until it became
popular, with a small non-user-visible part in the backend. With the
Windows port, the port wasn't really visible to users until it we ready.
For the key management part of TDE, it can't be done outside the tree,
and it is user-visible before it is useful, so that restricts how much
incremental work can be committed to the tree for TDE. I highlighted
that concern emails months ago, but never got any feedback --- now it
seems people are realizing the ramifications of that.
I think the current situation to be as follows (if I missed something please
let me know):1) We need to get the current patch for Key Management reviewed and tested
further.�I spoke to Bruce just now he will see if can get somebody to do this.
Well, if we don't get anyone committed to working on the data encryption
part of TDE, the key management part is useless, so why review/test it
further?
Although Sawada-san and Stephen Frost worked on the patch, they have not
commented much on my additions, and only a few others have commented on
the code, and there has been no discussion on who is working on the next
steps. This indicates to me that there is little interest in moving
this feature forward, which is why I started asking if it could be
labeled as "not wanted".
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Fri, Jan 29, 2021 at 5:22 AM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, Jan 28, 2021 at 02:41:09PM -0500, Tom Kincaid wrote:
I would also like to add a "not wanted" entry for this feature on the
TODO list, baaed on the feature's limited usefulness, but I already
asked about that and no one seems to feel we don't want it.I want to avoid seeing this happen. As a result of a lot of customer and user
discussions, around their criteria for choosing a database, I believe TDE is an
important feature and having it appear with a "not-wanted" tag will keep the
version of PostgreSQL released by the community out of certain (and possibly
growing) number of deployment scenarios which I don't think anybody wants to
see.With pg_upgrade, I could work on it out of the tree until it became
popular, with a small non-user-visible part in the backend. With the
Windows port, the port wasn't really visible to users until it we ready.For the key management part of TDE, it can't be done outside the tree,
and it is user-visible before it is useful, so that restricts how much
incremental work can be committed to the tree for TDE. I highlighted
that concern emails months ago, but never got any feedback --- now it
seems people are realizing the ramifications of that.I think the current situation to be as follows (if I missed something please
let me know):1) We need to get the current patch for Key Management reviewed and tested
further.I spoke to Bruce just now he will see if can get somebody to do this.
Well, if we don't get anyone committed to working on the data encryption
part of TDE, the key management part is useless, so why review/test it
further?Although Sawada-san and Stephen Frost worked on the patch, they have not
commented much on my additions, and only a few others have commented on
the code, and there has been no discussion on who is working on the next
steps. This indicates to me that there is little interest in moving
this feature forward,
TBH I’m confused a bit about the recent situation of this patch, but I
can contribute to KMS work by discussing, writing, reviewing, and
testing the patch. Also, I can work on the data encryption part of TDE
(we need more discussion on that though). If the community concerns
about the high-level design and thinks the design reviews by
cryptography experts are still needed, we would need to do that first
since the data encryption part of TDE depends on KMS. As far as I
know, we have done that many times on pgsql-hackers, on offl-line and
including the discussion on the past proposal, etc but given that the
community still has a concern, it seems that we haven’t been able to
share the details of the discussion enough that led to the design
decision or the design is still not good. Honestly, I’m not sure how
this feature can get consensus. But maybe we would need to have a
break from refining the patch now and we need to marshal the
discussions so far and the point behind the design so that everyone
can understand why this feature is designed in that way. To do that,
it might be a good start to sort the wiki page since it has data
encryption part, KMS, and ToDo mixed.
Regards,
--
Masahiko Sawada
EDB: https://www.enterprisedb.com/
Greetings,
* Masahiko Sawada (sawada.mshk@gmail.com) wrote:
On Fri, Jan 29, 2021 at 5:22 AM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, Jan 28, 2021 at 02:41:09PM -0500, Tom Kincaid wrote:
I would also like to add a "not wanted" entry for this feature on the
TODO list, baaed on the feature's limited usefulness, but I already
asked about that and no one seems to feel we don't want it.I want to avoid seeing this happen. As a result of a lot of customer and user
discussions, around their criteria for choosing a database, I believe TDE is an
important feature and having it appear with a "not-wanted" tag will keep the
version of PostgreSQL released by the community out of certain (and possibly
growing) number of deployment scenarios which I don't think anybody wants to
see.With pg_upgrade, I could work on it out of the tree until it became
popular, with a small non-user-visible part in the backend. With the
Windows port, the port wasn't really visible to users until it we ready.For the key management part of TDE, it can't be done outside the tree,
and it is user-visible before it is useful, so that restricts how much
incremental work can be committed to the tree for TDE. I highlighted
that concern emails months ago, but never got any feedback --- now it
seems people are realizing the ramifications of that.I think the current situation to be as follows (if I missed something please
let me know):1) We need to get the current patch for Key Management reviewed and tested
further.I spoke to Bruce just now he will see if can get somebody to do this.
Well, if we don't get anyone committed to working on the data encryption
part of TDE, the key management part is useless, so why review/test it
further?Although Sawada-san and Stephen Frost worked on the patch, they have not
commented much on my additions, and only a few others have commented on
the code, and there has been no discussion on who is working on the next
steps. This indicates to me that there is little interest in moving
this feature forward,TBH I’m confused a bit about the recent situation of this patch, but I
can contribute to KMS work by discussing, writing, reviewing, and
testing the patch. Also, I can work on the data encryption part of TDE
(we need more discussion on that though). If the community concerns
about the high-level design and thinks the design reviews by
cryptography experts are still needed, we would need to do that first
since the data encryption part of TDE depends on KMS. As far as I
know, we have done that many times on pgsql-hackers, on offl-line and
including the discussion on the past proposal, etc but given that the
community still has a concern, it seems that we haven’t been able to
share the details of the discussion enough that led to the design
decision or the design is still not good. Honestly, I’m not sure how
this feature can get consensus. But maybe we would need to have a
break from refining the patch now and we need to marshal the
discussions so far and the point behind the design so that everyone
can understand why this feature is designed in that way. To do that,
it might be a good start to sort the wiki page since it has data
encryption part, KMS, and ToDo mixed.
I hope it's pretty clear that I'm also very much in support of both this
effort with the KMS and of TDE in general- TDE is specifically,
repeatedly, called out as a capability whose lack is blocking PG from
being able to be used for certain use-cases that it would otherwise be
well suited for, and that's really unfortunate.
I appreciate the recent discussion and reviews of the KMS in particular,
and of the patches which have been sent enabling TDE based on the KMS
patches. Having them be relatively independent seems to be an ongoing
concern and perhaps we should figure out a way to more clearly put them
together. That is- the KMS patches have been posted on one thread, and
TDE PoC patches which use the KMS patches have been on another thread,
leading some to not realize that there's already been TDE PoC work done
based on the KMS patches. Seems like it might make sense to get one
patch set which goes all the way from the KMS and includes the TDE PoC,
even if they don't all go in at once.
I'm happy to go look over the KMS patches again if that'd be helpful and
to comment on the TDE PoC. I can also spend some time trying to improve
on each, as I've already done. A few of the larger concerns that I have
revolve around how to store integrity information (I've tried to find a
way to make room for such information in our existing page layout and,
perhaps unsuprisingly, it's far from trivial to do so in a way that will
avoid breaking the existing page layout, or where the same set of
binaries could work on both unencrypted pages and encrypted pages with
integrity validation information, and that's a problem that we really
should consider trying to solve...), and how to automate key rotation
(one of the nice things about Bruce's approach to storing the keys is
that we're leveraging the filesystem as an index- it's easy to see how
we might extend the key-per-file approach to allow us to, say, have a
different key for every 32GB of LSN, but if we tried to put all of the
keys into a single file then we'd have to figure out an indexing
solution for it which would allow us to find the key we need to decrypt
a given page...). I tend to agree with Bruce that we need to take
these things in steps, getting each piece implemented as we go. Maybe
we can do that in a separate repo for a time and then bring it all
together, as a few on this thread have voiced, but there's no doubt that
this is a large project and it's hard to see how we could possibly
commit all of it at once.
Thanks!
Stephen
Thanks Stephen, Bruce and Masahiko,
discussions so far and the point behind the design so that everyone
can understand why this feature is designed in that way. To do that,
it might be a good start to sort the wiki page since it has data
encryption part, KMS, and ToDo mixed.I hope it's pretty clear that I'm also very much in support of both this
effort with the KMS and of TDE in general- TDE is specifically,
repeatedly, called out as a capability whose lack is blocking PG from
being able to be used for certain use-cases that it would otherwise be
well suited for, and that's really unfortunate.
It is clear you are supportive.
As you know, I share your point of view that PG adoption is suffering for
certain use cases because it does not have TDE.
I appreciate the recent discussion and reviews of the KMS in particular,
and of the patches which have been sent enabling TDE based on the KMS
patches. Having them be relatively independent seems to be an ongoing
concern and perhaps we should figure out a way to more clearly put them
together. That is- the KMS patches have been posted on one thread, and
TDE PoC patches which use the KMS patches have been on another thread,
leading some to not realize that there's already been TDE PoC work done
based on the KMS patches. Seems like it might make sense to get one
patch set which goes all the way from the KMS and includes the TDE PoC,
even if they don't all go in at once.
Sounds good, thanks Masahiko, let's see if we can get consensus on the
approach for moving this forward see below.
together, as a few on this thread have voiced, but there's no doubt that
this is a large project and it's hard to see how we could possibly
commit all of it at once.
I propose that we meet to discuss what approach we want to use to move TDE
forward. We then start a new thread with a proposal on the approach
and finalize it via community consensus. I will invite Bruce, Stephen and
Masahiko to this meeting. If anybody else would like to participate in this
discussion and subsequently in the effort to get TDE in PG1x, please let me
know. Assuming Bruce, Stephen and Masahiko are down for this, I (or a
volunteer from this meeting) will post the proposal for how we move this
patch forward in another thread. Hopefully, we can get consensus on that
and subsequently restart the execution of delivering this feature.
Thanks!
Stephen
--
Thomas John Kincaid
Dear All.
Thank you for all opinions and discussions regarding the KMS/TDE function.
First of all, to get to the point of this email,
I want to participate in anything I can do (review or development)
when TDE related development is in progress.
If there is a meeting related to it, I can't communicate because of my
poor English skills, but I would like to attend if it is only possible
to listen.
I didn't understand KMS and didn't participate in the direct
development, so I didn't comment on anything so far. Still, when TDE
development starts, I wanted to join in the discussion and meeting if
there was anything I could do.
However, since I have a complicated and insufficient English ability
to communicate in English, maybe I will rarely say anything in
meetings (voice and video meetings).
But I would like to attend the discussion if it is only possible to listen.
Also, if the wiki page and other mail threads related to TDE start,
I'll join in discussions if there is anything I can do.
Best regards.
Moon.
Show quoted text
On Sat, Jan 30, 2021 at 10:23 PM Tom Kincaid <tomjohnkincaid@gmail.com> wrote:
Thanks Stephen, Bruce and Masahiko,
discussions so far and the point behind the design so that everyone
can understand why this feature is designed in that way. To do that,
it might be a good start to sort the wiki page since it has data
encryption part, KMS, and ToDo mixed.I hope it's pretty clear that I'm also very much in support of both this
effort with the KMS and of TDE in general- TDE is specifically,
repeatedly, called out as a capability whose lack is blocking PG from
being able to be used for certain use-cases that it would otherwise be
well suited for, and that's really unfortunate.It is clear you are supportive.
As you know, I share your point of view that PG adoption is suffering for certain use cases because it does not have TDE.
I appreciate the recent discussion and reviews of the KMS in particular,
and of the patches which have been sent enabling TDE based on the KMS
patches. Having them be relatively independent seems to be an ongoing
concern and perhaps we should figure out a way to more clearly put them
together. That is- the KMS patches have been posted on one thread, and
TDE PoC patches which use the KMS patches have been on another thread,
leading some to not realize that there's already been TDE PoC work done
based on the KMS patches. Seems like it might make sense to get one
patch set which goes all the way from the KMS and includes the TDE PoC,
even if they don't all go in at once.Sounds good, thanks Masahiko, let's see if we can get consensus on the approach for moving this forward see below.
together, as a few on this thread have voiced, but there's no doubt that
this is a large project and it's hard to see how we could possibly
commit all of it at once.I propose that we meet to discuss what approach we want to use to move TDE forward. We then start a new thread with a proposal on the approach and finalize it via community consensus. I will invite Bruce, Stephen and Masahiko to this meeting. If anybody else would like to participate in this discussion and subsequently in the effort to get TDE in PG1x, please let me know. Assuming Bruce, Stephen and Masahiko are down for this, I (or a volunteer from this meeting) will post the proposal for how we move this patch forward in another thread. Hopefully, we can get consensus on that and subsequently restart the execution of delivering this feature.
Thanks!
Stephen
--
Thomas John Kincaid
On Fri, Jan 29, 2021 at 05:05:06PM +0900, Masahiko Sawada wrote:
TBH I’m confused a bit about the recent situation of this patch, but
I
Yes, it is easy to get confused.
can contribute to KMS work by discussing, writing, reviewing, and
testing the patch. Also, I can work on the data encryption part of TDE
Great.
(we need more discussion on that though). If the community concerns
about the high-level design and thinks the design reviews by
cryptography experts are still needed, we would need to do that first
since the data encryption part of TDE depends on KMS. As far as I
I totally agree. While we don't need to commit the key management patch
to the tree before moving forward, we should have agreement on the key
management patch before doing more work on this. If we can't agree on
the key management part, there is no value in working further, as I
stated in an earlier email.
know, we have done that many times on pgsql-hackers, on offl-line and
including the discussion on the past proposal, etc but given that the
community still has a concern, it seems that we haven’t been able
to share the details of the discussion enough that led to the design
decision or the design is still not good. Honestly, I’m not sure how
this feature can get consensus. But maybe we would need to have a
Yes, I am also confused.
break from refining the patch now and we need to marshal the
discussions so far and the point behind the design so that everyone
can understand why this feature is designed in that way. To do that,
it might be a good start to sort the wiki page since it has data
encryption part, KMS, and ToDo mixed.
What I ended up doing is to moving the majority of the
non-data-encryption part of the wiki into the patch, either in docs or
README files, since people asked for more of this in the patch, and
having the information in two places is confusing.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Fri, Jan 29, 2021 at 05:40:37PM -0500, Stephen Frost wrote:
I hope it's pretty clear that I'm also very much in support of both this
effort with the KMS and of TDE in general- TDE is specifically,
Yes, thanks. I know we have privately talked about this recently, but
it is nice to have it in public like this.
repeatedly, called out as a capability whose lack is blocking PG from
being able to be used for certain use-cases that it would otherwise be
well suited for, and that's really unfortunate.
So, below, I am going to copy two doc paragraphs from the patch:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also protects against
decrypted data access after media theft.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.
This also does not protect from users who have read access to system
memory. This also does not detect or protect against users with write
access from removing or modifying database files.
Given what I said above, is the value of this feature for compliance, or
for actual additional security? If it just compliance, are we willing
to add all of this code just for that, even if it has limited security
value? We should answer this question now, and if we don't want it,
let's document that so users know and can consider alternatives.
FYI, I don't think we can detect or protect against writers modifying
the data files --- even if we could do it on a block level, they could
remove trailing pages (might cause index lookup failures) or copy
pages from other tables at the same offset. Therefore, I think we can
only offer viewing security, not modification detection/prevention.
I appreciate the recent discussion and reviews of the KMS in particular,
and of the patches which have been sent enabling TDE based on the KMS
patches. Having them be relatively independent seems to be an ongoing
I was thinking some more and I have received productive feedback from at
least eight people on the key management patch, which is very good.
concern and perhaps we should figure out a way to more clearly put them
together. That is- the KMS patches have been posted on one thread, and
TDE PoC patches which use the KMS patches have been on another thread,
leading some to not realize that there's already been TDE PoC work done
based on the KMS patches. Seems like it might make sense to get one
patch set which goes all the way from the KMS and includes the TDE PoC,
even if they don't all go in at once.
Uh, it is worse than that. Some people saw comments about the TDE PoC
patch (e.g., buffer pins) and thought they were related to the KMS
patch, so they thought the KMS patch wasn't ready. Now, I am not saying
the KMS patch is ready, but comments on the TDE PoC patch are unrelated
to the KMS patch being ready.
I think the TDE PoC was a big positive because it showed the KMS patch
being used for the actual use-case we are planning, so it was truly a
proof-of-concept.
I'm happy to go look over the KMS patches again if that'd be helpful and
to comment on the TDE PoC. I can also spend some time trying to improve
I think we eventually need a full review of the TDE PoC, combined with
the Cybertec patch, and the wiki, to get them all aligned. However, as
I said already, let's get the KMS patch approved, even if we don't apply
it now, so we know we are on an approved foundation.
on each, as I've already done. A few of the larger concerns that I have
revolve around how to store integrity information (I've tried to find a
way to make room for such information in our existing page layout and,
perhaps unsuprisingly, it's far from trivial to do so in a way that will
avoid breaking the existing page layout, or where the same set of
binaries could work on both unencrypted pages and encrypted pages with
integrity validation information, and that's a problem that we really
As stated above, I think we only need a byte or two for the hint bit
counter (used in the IV), as I don't think the GCM verification bytes
will add any additional security, and I bet we can find a byte or two.
We do need a separate discussion on this, either here or privately.
should consider trying to solve...), and how to automate key rotation
(one of the nice things about Bruce's approach to storing the keys is
that we're leveraging the filesystem as an index- it's easy to see how
we might extend the key-per-file approach to allow us to, say, have a
different key for every 32GB of LSN, but if we tried to put all of the
keys into a single file then we'd have to figure out an indexing
solution for it which would allow us to find the key we need to decrypt
a given page...). I tend to agree with Bruce that we need to take
Yeah, yuck on that plan. I was very happy how the per-version directory
worked with scripts that needed to store matching state.
these things in steps, getting each piece implemented as we go. Maybe
we can do that in a separate repo for a time and then bring it all
together, as a few on this thread have voiced, but there's no doubt that
this is a large project and it's hard to see how we could possibly
commit all of it at once.
I was putting stuff in a git tree/URL; you can see it here:
https://github.com/postgres/postgres/compare/master...bmomjian:key.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.patch
https://github.com/postgres/postgres/compare/master...bmomjian:key
However, people wanted persistent patches attached, so I started doing that.
Attached is the current patch set.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
0006-test-squash-commit.patch.gzapplication/gzipDownload
�[�`�0006-test-squash-commit.patch���k�n�u��~>�W,�"�"YU�.c�fL�b���
'�6�
���7-
�����\�)qK$e�������;F]zo����~���}����G�������u��]�;�8G�k��[?��_���O�/?��)� ���)���S>�����~57?�������O��� ���>���_}����G���?�O>�O���"����� �O�
%�/~������>�������������}�f����������i��g?���/���w��������� ��o�����?�����������;��[���?�����?�; �u����_��/������W_~��_��_�O���7�;���o���������1����?}��~����������J������o��?����W�����_�;~� z���k������{��k������m���}�_���h����}��/������6�� �U���� ���� ��o����_�������W��>6�/������/�_ �_=K��j:���������5���z�������f������o�t�����}��[���?�����;���'L����O�����j/�`���/�����/�����;���������bZ>����u��w_|������>�~��[����Xoi���)�Ps�X~��}��}�g�������I��
�w
����?g����?��7���_�_}��������/�����W?���?���O����G��~����������������O_~���v_���~�~�b�_}�����|9?���=� �W���_���W_�������O��O�~���y�O_|��w��O�?���|��_��/~����?��?���� ��_�w����]��;����l�?������K���7�Yd����������Ok��W?�����7�&nl�O_�����|?}��_����y�O�b�>��/���������>�w����_�����~��}��O���e >�?�����/���?�������/�����g�1����z��5[m���}/<��V��������o�?����xv:���F�"�������_�o���M��Yw�~�����o���G�/�/������� ��_������_��?��������>}�������\�O����!���O�g����o���W���>���_�����?����~9~� >vw��W,�����O�?��fl���?�����������V��� ��?~�E�xz�����|�Z�/��
}R�w_�l���������~����M���X�����If����?���������d��3��w����~����X��������� ��U~������o��������������>^�_��� ��{�?�O���~��~�����{������Ic���?��w��O��_����W?�
���;�����i���=�����fi�����YG�!��<+��MW(�����]V|�z�S�x����F.s�\'3�]g�os�W�����\��v�<���}]����u�W�1�w���n5O��_}���������)� ���\�����;����� ����
l����������sx���M������o��/|�/�����Z%�a]=�v����w
i>���P�~j��v]�����1��i��Q�L��q���y��fw��g�/�i�1����{�V��x��+m
8���M|���*w�u�����y^���0$��K���+�w\s\;]W������������c�<�J�i��`^��)�;<W���>��}?�����aP�����+���q���oVh���1{ ��[B��s?����i��������^��a���p�+G������;��g������,����+�|
��e���P[���
��9z��R���/a���
kJ|q
��x".a������X��/�n��(�a�JX=����W{
oj!>�����-Z��=�V9����S.7�h����[
��o��t?o*�����g�O�w����M}���RC�������u��K��%���R����}G���j%�{�w��������_c_���</_z���8��z}��q�1��W�����Y�������Y{�=��5x�'\}�R��������x�k����;89�Oa
������I;�'�|����_^8F�z���>�=c�x�ZWo�z��<������������5���K����R����*{����2r������~��e�x��bx�=���
����ksm���+�;�a����8��P���
�n��*�V�a1`-�g?W��J��Y8U��
'{��
�)
�������YkwsSg!x�����p�\}�����#������Z�c�[��\u k������\����y
;��VW;,N����{����R�l�z�\�UFz��G�v�lk�l!g&�������R��c�Q
u_��4�
}�tElQ��
|,�h���I{��^vo��]�b�����6S���bNe �3�/(3��p�
6��Uf�^�;|�UY���~0x7��K���0�������|?�u?����1�iV��J{>Oz}4v������9^��~.�����
�����
2�|�|��c��.+�|c���i�]9o!��X�|�^9����� �=89�*�g��O
cG^���6��_�����.���
��Vay�H<W\���Ak��q�
/��X
RV���i�.������&G�W�g�Tq�3��;r��xx��� ��
�����-��=g��UCx�R��XK
��g�h�s^�YZ����b���$���F����k��[����6c�2��d9X|<'n������)/��2�)/>"sI
6 �<��`3��
V�M �������w��������#��K`�w7�&6��
�����u1lW����q��u�>��q�,�{�i���g'?������x���N�81���w>�q�0��S����'���(e.`D���J�`�b������\���1�
��I�y�
���l
E u{�+/�o�
�zb=j���z�;���
s3 S���F��:��D��z �O |���kW����z7_���/�
��
�]�m�����z�_���o6&��w|�����r%��
��U����5r����h����J����D6�(��^����z-�dM� ���^�R���-�1����C�q�9�w��\X5v��������+�m����qB�OaYf,A��a�0,�
��R#��`�Xf}���^A�faxW
r�T���7F7re1
���$�
;��y��\�KV��e����[�U��SKx<�'
��
���������
�[V1�/v���y����]��Mg����|c����ybB�`#�:&H����_n���
�*
gP��
� � ���#gs<��)�����i0
�����x��.�
�v����A����2���
�I�%��y�0s�O�
��u��8
���c��-�y��UZ7g��K�������>m���7�_�� �=���
�kkw����+g�f����1H���"R
���
��4N��v]"gec�p���P�b����b�X�����G/����8���n�}
p�[>*���J�g���\��J\5�/�g�ZLD���� ��*O�oL8����0�X�}���+Z|q
��]4����2�U�T��\���,m����_����1���ZKgG�
�����9����D����`,X���O�1�Q8���+=�"���$� �1���
q�X����m�L��!1�@C0��
F_
/�1f�ArLleqG<5��������@���A�
y��/|��\|V�k�y1\���k���pj1�A.W����������
�:� S^F?s������t�"�L�a��a�1J����nB�R�=%� fr��p��2��%
S
:�+�1����X#�&��i��M@�.b1�ajD9��,S�tY�w
���uc
K�oB���xa�?`�����Tc�
5\� �~�����o�)6i��dS3���,���/�����li�?�����U����Y-�(��U6�g�x��oVe���uCtv��� "@i !@
[�2�\��Kx?�8��eHb\��MP
�k_��]|�9��� >�`?���`/�Qx�}�Pw$���L
���,�:#`�x����w}V�&�����_"�
�c��8����12_1yp��V �����M8�>�D��_�n��G�
Q`C�N��8�n-0xX�NR�����w��|6���a��}��wl�2����]-���p��q�.�,�mw� �c��T�w��_|]_�`-����
'L�T
d/
,&5
�16���-f'v��<�N��J��kp�ua�f.�u�?�s�8 �M.h�&i�}q��@�@��N����� ����O J�6PwtM��?I���m|�/NH
�x�����(&;�G.p#�&(z@�aqN��7As�:��EL���5�a��Yr�1w�Q���&��
yP.!�*�B���"����H;��b�3�������\�c/'��p����������J��`}b�
M>n����
<2��/p`<w���%_0nO�hNyD0��
Z�x�V��y�Q,�(�5��%��Eh�S�.��@{�3u��-`:�
��u60U~
�
�.���9x�s/,
h�[E�3�I�������@!����K5
��������y8�0���71��
v$?8��������P
g99��_�p��h��o?��s[V~_�`�1`��$���X8/
��f���
�����c�"2+��}����.B��[]�M��
��mH��W���]O�����@����[
f��
��� *��3�(6�� E�������\ �j�����C/,�G
�Q� ��s��2<��4gD����^�����+�=��419�L
���p�b��L������.�P�_P�b�n�������
�|�j3������'F�M�h� l\��� �� #��a6��cD
�5��Eq�xP�����%�|Z4�&��X��s �8�8��ik���.�p����8�����mPrF���A�7����������b��5,��0]�X�V���U '��-8���~1����+���`E�F<99�W�\=<0�����"�(QG"F"��X��@���
����8QL1��rWcp� ���us��������`&���
p�p>���X���i
�J�V��N\vbB�<+���d6�U���?�Md����
�w�1`�i%��e�t����sL
o��)w}�F#�|� SM\�yy O��c��!�x&�s���g������3!,/�.1����D
7p(����>an�L<�P ?������^��e�'��BsY^L����V\
"����iYR6>��&V@,7�<@���������'6H<����ip@t��^����}�X��wN�%aG���X���s�ypBb���|�����I�Yk����]7�H����a-~
��"��*���� ��8���R
uy�w��D�~
o�{��7��%����.@�H\��jh�k��<C30y
A��K���
��� )L����{�m��>�
!�����8�M��.�(sH��X�>�@r
Bv�q/�/�;���
D�
7i.r�����aP��F���<�E�^�J`��D��7B�)�i���Y���7��<=�U_�/"`U
�K{N{����������`����~��@���1�HX� H�2���r��27�
��w�d�|��Y�i��bY��bd#�\��Lf��5���3� $�I
k�,�"u�
,�6���
'@��
|6@���,\����B^��k����
���zW�^�cG�X�A5Gvp�EM�� 10�����Y9�/��7��q)��x0S��5�$@�"�IF�{f�t���
��#��/�c��Q�X�
,�����`������Ehdzo��W�o�
�r<�4F��7"�F�F��o�xw�� v��xM�b
�e�8�=/
D�%��<��.k
�3x���6��~3X`�?w�O!��)q�
!R8��;�������c���%~����'W�O����`�$4H� H�5.��L��6GS��7�D�����8?��g�����nI�st��c����
\�/'Z]�����rl�&nM�k��ll��^�H�.��n#���!�E�D��"A��3@x\���w#
��Y�y
�C/X��;�����@���;�1oN\|O����X�R�����5�u���i��[m<���M��+^D��*��x��y~�!����08�x���)�r�����4�
�p@ �.�+n
��u�|�b��8wn$� �
��vr�01N������{�+<r[S��@�/��T���^n"6 ���v%K�����+�O�V�[�`[9����c��q��2�G��r��x����h�9W�� ,P
��q���D�uX��Z��a�y�� �Vq��5��
`F��6���<���N���G���O�H\!��$O�p�\�h^s �s'��t���n�v��=�`�&�8���e�i��Y�����MA_qc)E���Xk����.���
����,^�UB&�x
G�e ,
���c|"�E��-��*����p
��XYq>�O%��n�s��b����~�p�6�a@��� �*��@��
s[�E�y����V���~�L���#��
,tm6�7��_�l3�%�H�����O���/S�85.���a�p�-~������*��pD�
MK:�<�K���{XC����%,
�L���;�U[�� �gx9Ol���,����,|B=��� �U#��e�����!o/{R�/
0p�4�
��g�� v_�Nj�l�HB���fg�J~*19N
�5���6B�����@�@���~.�P/kI9N`�=�Idc��`��?��%�5�9;�����x0Y
��|lK!��u���
����@��t'?�N�kL��`����&!m�5��m����=?+�E�G0���XX�����S����{��xVwj���[�4�t��r�3G|��`����%�W
('�5�����X�H�����@�� ;���@�:���7�
�r[LX�v�p$���,��v���iuc��.^�Y����
�"���;V�5�����'�}8�@�Vn
����'��:Y��
'�S
=A���N,�;����"��� -%��L��Kgp}m���E�� �>�� C�-�9o���"�!�%���iO��^V
���7��u��~�K��A��jc��nvjuW5���^B� ok(AWf��1Z�m�
���?dqS��<`p�N�o�W�(�
S���f�(��ym�7�D���e0N�}w�z2
�s1j��n�*���(Q���_�������������_m$�X��&���x \�������9������@F���P�[���;a�
�V�6�p�'� pttu����p�n������l���l�u
�%�%���3v����n�
��ui���e���h�5��2�N�L `%��'��@�OX�
����
�
���k$�������y����J
oe�[�/����yE����]�I���x"� bJr<�Z�Y*���r#�@}vM�
� ����u7K�I@������L�`
��5K��C^����4�Y �����&7���-��{
DL�`���:&�����q�7��������3tG"]n���^K
�
�O<[�Z����R�@��t��|W'���$�`
�;_�_X��!�N���,��:"������[��dMK�����r���c
����@>������}'�ysk%����h���5X#k~��v�0$B#��k� ga;b�d0YT_6�t�k����;����v�@��G�&qJ���� ����r�
,
������"�8����[��K�M���)�� �<��_G
g�/�������_��A,�y�-�OO����&����f�`�p6���L��A�Iv�>����{��l?�����[�X���H3��������O�'6��7����h�������7�����K������\Y�
�%c�P
a;��,*����9'�?��:y����Z����m��/T��~W3o�A���f^LG��0� :�����,D��<�
��z�.+U ��V �������0����X�KNT����&�~q`���{� _���3��-���l���>�=~��iJ�O�%l�E�e�@�G�f� cK����|�\�5��[�c*t���Bvd�~m7�31�e���*i ��E|`�c0��\S���Z��e
���
4��� ��g����A�t�iZ�H
�5N�P�/���/���!��>7����D��
�s[)���v_P`�^
�<�����xL� `D�
��al��N+1D
&<�AG�e<
j�]Lj���A���b�
0��@���h��;�r����N����l�4�W�1�jU���2��*j�����7N�/3��M�&���q`�m/����9\�X}�jN�����k�����;�o� �>�,���w�m�+�DP��
|���_�@k��
#�i��75����e|
^��`��=�S����M��m|�jD�Dl�H���}��Yf�(�������P��B��c�� h������: ��&>F�
-`���)�������f��lK��@��S�F��
<%����hsy-7(�h��7�j(�58�P��%�$����S�Z7s���}��2e���E#8���QX�ps��W��yE��p�?���7;����@����
��WN�����V�/`P�k�/�/��>1��D���R��q4�����f����/�gDv����"��N���Z�o�-O��:�s�,���M��#�L\�I��+�q�'�`�����n%x���Fnl��*��������V�H
Nt
��U0jB�9H��$B��.�N��7Au ���q�4=~W)e0�CPDE�����=����5��/�(�b�j�3��1�j%�N\u/n��Z~�c�N�v$ucl� ���<��]=��\�X6!;q
����{xh�Duc
��_�^6�_�|@�3`����|�d���������Ed� ��zM�'N>��a�u�M+@te������,��S�3�`��9�@�\r����{�-�43�F�Q��k�i�/�I����l���`9����
N#?OLb�ef�hk
��D�����}��N
��������Q���p�@�����e��_���zW���$�����A��c��2������l��<�}������h��M�����,^M���H�PG[s�XJ�h+��1Y�K�+�"�����3�f"0 ����?�[/������H�!,� cJMzvs�ym��M�5���_��Z:N��k��f�����������f��]1A[�m�|������/�����\�E���'U�bp����������Z���N1q0���-#lGX`��e�:�v�������p
���
a��O�9����v����:�7Nr�R�m�p;���_��E���B��=��->;s��4q�4�5m�E_!�fS����{y�}T
���j
�������N2 �g �;`��;����|�%�~���8�>�;W�
��xgxmy��KuT��5�
�����[�6��1R�L�Of���I���*vR��X�.�\#�,_�����M�/_���K>C��n�v" 's R�_�u���
�}s!�8u�6����m��1���az;cZu��c����
�
�K�oyJG������������$O��{������^�
�scQ��\����SY0����E�������:A_�
3�q����
g�����U,�AH���+\K�J��e�l)�i��
��n��<���)���f��)8��p=��a����/���9�Xy=�����#����Sz����(��������~l1��8Z�����-Ds�6z?��x{�L�k
���>������������ ��1���<6��<^��K6\�~�F�0��>�
~�rJm�g��������NYM����g����
�;������C
��H��;�����J$�_����%���e}�7V�-
�p��`~^�h�c:�:����4�I���8�3{����/
�v
�1k�X����s��e*��1L\�������b��MPH��.�M�����
'�X3�����@�W�\+����U.���l�����=����b�a����7d@ v�i��5d��
�P:�n��sr�F:�^3�}��U�
0+v:qd7�O������<[�N�n��YU�1��
��s(��(�:89L9^�F�vq!�
��������5������ A�U�M����]/ ���e��n����Mc��i1l�Y�Yb�Z��M�Z�����|#F� &
�s3��N_�
��1/���#��������`��M�Y���<���#�E
���|u���������z�������EF
$.�p�@�:^c��#��#������B���rN�1�aW
k�
����#�+�n�N0b��U@��������|�
#��'P�����%8e�.�KON'Zi���I�n�]��Ui:^�OV;�E����l{`�������^�K��
���
@�D��S���foo��
s�i��%���/�{
Rg
�������7;`p����U�
�������%4�g�-D^#>���n����������=|���xp������ ���D#s��|
B�O�4�x�����.A�\��i;e��"8��
F:
�� ���&�,<a���#$;�+F�s��@e+�XoW���gK6xG������&�����v���eX�hD�d
�o��A�
�g8����7N�
W7���D�f��ZpTX���l���`�p�x�m$S��O�s�1[�,��xt�B�a���)� X��i_�����B7�V������}9��H�eo���'
7��4�����;���[�d��N����+��6a��A�LZ ����J�'={OT9�Y��-$�(O
x���#�
����w��`����3T�"
�g�;N�� ���u$����_�1t0���|i!5�������1=�Sa���HGD
�\��r�
��mb ��H�O�
�X$��|�f
��.a���op��K��q9�ps�9��������W0a���_G�����8^�7�Hy�f���`�8 kt|��F�����:&���!L�(���
6�?v��f��G�����������<����sP����s�����n�O{���<��6����/��?|1n%W{���B�2�<��A^\?n�%G���'��V���L��]�E�2�D��<�b��y�U���9+�%%Fp���8�
���p�M�M
��J��
7�������PdT`�5�z�p��5�m<����loQ
�a+�W����m�!
���2����c�Zxv�%�0�B�%�)�<�������~m
p>�#�r������
���7�
�
�)�
�FF�vE=����x�c���:l�EC�e'����T7�u��%����f_�N��\-m��.89�
�H�NMA�7�����& .��*��yM�'%��q���K"�W�<�mq-:�$
�L�O+���n7'�
�\�{P�/,�0���5wKt�x�uF���j
J���
���b8��<��h�����V��H� ���n+����V
M{qj����L�mK�����Kl/��&�p�^[���E�p��8�#����(�~�����N5��+�(.��,�g����pf
�
�
���3�NP?-v�P�������"�
���'���a}F�?N��b;��y�
[���r����d��
d^��
D���s���I���&�h}��fCmBL������;/�~����j;Hp�������+`a����F6G���m��!���E�@�a�n��O��o%���'�/.�W� ��TY@
�=��_[83����wp���
H��?]892���m>x,U����m'm�/oa��+��S�N����&ms,��x
9�e�E�9��YM�'���OG�����*]@�X��b�
�
�Y�*��MnE�WK��`�X`k�["�
J�]�
2�B)
c�����K�e�U���uv�cA��<�M���&}����JN��9���
�
Z�!��s�n�7��p�F=�W���0�-�����u�����v�!����_�G2k -9nb:��'�CA�,�]i�g����eo1W.�
AA-{��"��������4�7`u0�l
�i�u�6`����������YI
o
� P.^
x[�����R<�����Y���x�t4Wt�z[2��Y�5�Y�o��,��km�Or�x_W.��c����� pku�A1���a����[b.���)���"�J�����x
���$)��
�&��l,O}�\e�q�
zN_�g�v�l[�!���)\2��3����\�{�
L6�9i
������T:.�9l/�x�&}[F���������W�)�Z�8�N�]����^F�^>��]�@(jP0>�
&�0
��'r45^�����$������e��m��
�z��$
,@@h��p��Cv��U-�I�F�C'�����r�+�8����-���b7oB�AAEx���`�C+�b�f{����K,�;s���.�$2�<������S�/�7)9�N�l"hv;�
��.���ND&�Y�b\�M��6��/��CRz��o�'
��G��4<���=]ta���8�\Y9V�c��m6$��S�`
���xH6:Fp�
��_$lq���#�0�������g(�W�&�@2��w ����S�{�>qMP{��$TSZ����f�[+�MW��38BvP�p_�
��D��
/�M�
������K�},/�S)���������K+e�#�pig����'�����2���a.�����d|b^�`1F/��v9���
e���NN�pXfl�t
o�6��O�uJ� ���������2�
����b���-�aq�XM����;:
u��������8����?�~S�)�K$!V8����ivq��
5�k_���^�7;5nK��y6
����!�t�eO���4���X8�xo@Np�}�X6�e��h�����
�m�o� 7�-���6�. ky}N��N���V�[_
�l � �Y���Zm���� :a�R`�"����Do[>��1a[X�`%��
,a�C����"�YX��
xO6jE�Kx
���<�f���h������
x��Im :*��k�,QA�xm��O1&����*7�d�!���e�������]j���HM�<�� �&\����h����p�
����7W�S�30|Nc�� f� ��7��c�}�+j��0���B� F�����-Yd+�F���}k��)! ��c5�rl0���
R������k<��
I��1MBzbW
+*��4�Fxu���������L�.G����N�<6��p�A/����_`�In9�(��F���h�
n3�X���z3A�v�x���.����bp��<��\��m��7S���$ZW�P���0Y��&��
<
��mO��i���*��sO�R���5�����~��n>Ky���H��g��L.�p{�
������]v�`��e�,�e�1w@�-��(fl���i��t��^������8b��+����W�8�)�1$��Yk���E{�,�k�*e��@�j�KDhgbj�� �Q���l'.��73\=��%�
�>��fc������.�#
�}<o�2�q.����n�o�����+/3V-��<2��x� ���1*i���
13M`X�Q����
v����A������%:n�N����]Red�%�Nz�����8��%�}�A��{�q���b\�n�J��d�*�'��v�:oDt.E���2�9#�����I��c���:�����:�
;v4��G-�k�y��X���zx9�8��8�%p��0��` �7��l���at��#D����,����W[�<9��
��c�w%����������?��7Lj������[�x4'(���b��'O�����hJh?���Qu<E��E=DZ`��0
�����f���
g��1�Ds,l7��3AT���%��;��&"����c��M2>��U���
O/�P\���
�=o�]�9;tu9@�a��������b��
��"Y(�]J�G0��������
'9!�y��;��N�p������J�;N�%��� r�P��E<d�2�v:�0����(6����3��6�"�6K��\*h%P`�MJ�Z��3�6��D�K��,�����
�,"B$2�b
����T!auf��W�
�Iv��v�XB����j^�rG�
<Y
#SL�g�����������������u�9|�6JIk���Y�d|Mj�6��jM����� $� �>���|;}��A<����aw��PZ�,�/'k�|S���#K���VI;�y|`6x����9NwH�5u��Y��
���m��
K���/C/r�����OH��Y��N�t�������P9��� G ����$��[,��s7���^���m}�.��%�5#��e��%�w��
l�^^��Y!���dy��2�4^�k;�[2z�����k� ��
$��H�YM�{OL���52v�Nb��\�X��|L)�(\�3�����b���y�����q��`���h!��b"�{����4�(2�� ��y���fK�����rt. ���P�O���BAT#�����o
*TL@$n0
�
�����e�sM������st��Cn���mke���} s�}�B]
j;-1��~�����
��/e29�3���X�������$6A�l[����(��;�98Ev
tl��J��X���>(D��`Bn��J���`
�m�g�
��|���}���8\����������^�`�
8
L��n����':����x�G�!<U%���V�.�D��d
�9��r/8_�h
�F64"��{
#��w1���e��a����q���/�'#����x�)
�x���/�
��
��!(2i�<p�+���
����q
D���t.��0�gJC��/�i��V3c^�5'S<�#��ie�nf���)��_l��M��|'
� *���
�FYR�5�r����^,'v��I
s���+��QY��\����u:�K8�s[������
����Q[��M�t����Kv
:x�u\lV��_
6a�{����g28��4�%�����-T��>����yH%�u�7Nf���+���J~�a���h�mC���<��cr
������AK
���}/-V��M�A{P��.;�l���
���/;���
�B��@!sF���x9� �V����3�u��y^s���F6`
KZ���7G� ��8�$�ql'�1�
xh,6O������l��8 ��Y:�)�$a|!f��(���~"�*�I���Cr���A�<N�$>}��3= ���gE��
&������-w2s��P^+`I�<8�YB p��s�N�r��01�2���m1
����:��9�f���
J��O�������p0rKT
�z��
�����'{ajH�T
D�B���
�
����
��4�9��:�`���O��%fG��p:{���w�MD��L��pK._p�I��}� [��!����@�zG
%� ��b�9i�� ��W�����:�_
�l_#q��m��!��W���\~��8��-O���C����~�����6[������7�E��}��9�wz9W��m�����6FD�
��1[/���������S0��`o���}�308����.P�n�P$�rZ�
#��ka��v��<8���}�<��
e,��Y�o�6
I��%8F�z_�CRk�^���)?�������bW�4 G�z.���d���?����<Sh�^�j\f��s����[D�f�k�>��-���
�����e���
��=�xq���$�P����������?� �H/�k�A�b�E��,��
�w������p�������;FRe���p�aH�M���9l� `
v�m��Ew����*�c&��H�
L��l���Y��|�&�%��2?�����vW����:�S�XJ�+�����/
��$�<�6�
��r��J���6�g�����$v�8���B���,��aa� �_4>���(Y�oi2����A �Q�#��J
�h�� ��>o����!s����u
����~Wx����������1�u���]a;����������u��4
��&�d�%���/�f} �N����M���3���������������|'_�~l��A=T� �!?��^M������,Ip[��I<Nk�9����� ��L
g1�F�b�V�� t��������W�����H
l�1�����%����RLc)���l�U��������?��+p���Ws�A��F�E
��[>Z�k8s�&j�4�i�X�}��-t�bG]s�1��g�Yp�S�mpA�"b��\W�$��L~���Yp�z8�"�(yM`��
�m�6�E��Q�L���� Ps,���Y,\�\�<n�u�fSe�J�)�!�J��u)��jx�7-G<IUQ@"Y���@��o9/
2;#�������
X�A���v��4
2,z��#�<�F�rKG+]z��
���\������Pe�p�'�w9
���[r$?�� �-����q��qa�
r������$���M0
v[�����$��(�����u�n�R]��� s�[��0]�"�?���9�����B,EJ�w_���
p?X�\��4��aQ�^��d��G_�S
��
�����k��U`�9�a��%��D���e��z;i(�v���b�c[�-�r v�gi� �} y
~9�l���t���)Z�}s��y��
�U������p��B����W�)��i�r�%bS%�^��gI�dh��}w�3�z�l���Qr��������+���U�����Z����i ��-�$U���n�_��it���[������P��V��A���
��
�����32���l ��"�}��H� ���x���!���0���b�OKf�nkzz F��<�������yR';�j���
wz�X��\V�
�x�
<,s�]�h��$��[����;)��L;�@5�����cX�<cyw��D�CR�H�^�Bv�4K�`a����3�{80��f
*����%.������&j�����%�"o��D���=v;�1x��-�
��������I�~[���7�(��� H�
T��~��=�d������1I�Typ��qn�pYr�n��������s#�-ypD�CV�FZ
�j����1�$�8Cid�;
��W%
��o�Q���j�
w��m�j��������9��V�K]���kA��Pp���hBD$����M7��SU�
I�{ ���
��< BVqG@�n@�#��3'�#(Q��s[�����m��!�k/������w�
��srh%�]o:��,�}�$I��r������
�f��s��`
�[7�����m�c!,���a�"������U��W�.�
��N�����_
P��%�wR��f�(�5��,�&��X-��`"s�����+(�-�i?���6n���X����gbh�
7��]�������}#v��������e$e;xR<�&������� ���. [�<5��fR[D
�WL&����M�c��]IHGL`%7z�h
�a�/e���>6���kH _���
�������.C\
������of�n�#^@�Yo�l��KQ2��s�C�L,@��b��6�v�y9!)��\�<�}���eph��,An5��v{�����.X�����^sv��! �
��6���|
�eb1@q,������w|���w���y�zj�|96�e`\������� cH�C�c�� BR��y�����/7 �S�G����x���*@ ��8���0A�y\�5�����Y�^,��
'<1�.�C�0����w���o�_�d��
`�
�}���6V���M��'�\{r�@
@z:�8�,��<-;}�)��`p�����][x
B)K;�evj�5S�rV��t��5d�Q'u�k�*]jZ8�s��Z�p Dm���/n�6�M��=�vo�:^ ���-8B���������U�\%��K��N?�
e����:��q����A�|�M���Ok��4�4EVL{��4q�
�s��FS��Rn���.
����s��j����f
��R������JGKa=c�")Q�2�K�UL�I�z�|�T�\�b-lVe!��������X
�_]���w�>����r�<�Y�F{���
�kd���q�k{)
�,�
�r��DV��I�Z��:D�U�g�� ���`�
�|+ReE��Y�����u�ni�����{�K�O7�$Y�������s����c#�))G����=��9�|n �$5`�y>�X�l�9���FO��j����\,�<��
�
"�3Qi� �����z=���T���eh{/����6�:ZdW����Y�p�`��a7����!FR� �����d+;I!
��sx�-A������eZ�g-\p��#q�.��/����'�����"���F��F����
�}fD������#��n�������Y��J%I��
���[��U�{h������qQ��R��;����:��''%�j&�
�?��@K�\���=�B��������s
z)Q�e��T8s��c��@
�YC��&�!e��MY�����V4�b��t�,�EP�'0��fo�����t��w��t���9��
U�Xl�.S����|p?��2�J%`Q���#�d���h@nnmY��������m�
���2��������[�J�Y�y]Y(y�vk�]��E;�o�]��(F�|/gFW�@�������
8m)
�`�_+!�v^r�
�IN \=
���x�&��d
�3 �����i�����2��,����r��e�pr��O�RCq��]{�t��"������8A>��,��BIM=S���
��t�[�*<��J�-���lG��ft��,���)6��^���:J{.` ����DO������&8kU��\
@r��[���bX�����aK"�x,�W�A0��.IJTL"��X�����Z���6��J��$���O�b[<�R���9�c�=+ ����d��
]��c�-q7{$n�Q9�:�)���r^������5�(����z�)��`wS�C>�qxo��eG�_r�����e)������EN�>��c�p��Gx VG� �V$
Y�������Q7�I,�:
��y��:�6�W�b�0W '8�����$h4����U��:�t
n�%>���cj����]��,�a���;��/�'����u�d�9�
�3��F\e��W���vx.�s0|M]b;������S����-c�6�����
�,��s
��t$����)&J�s��Ru:����^�
��'����N��U�{^.��b���p&��0M��Wt �l�BI������^Xonv�G��qT4�p���$A���T����!^L5�6�����*��������t|
�5{`SP�2���c<��L�� H�#p&6;=� ����t�^�/`/`.�;���t�I
�jHO
�0
C�~%�N���U�U�|G }��;�Z�����<��MG���_�����V��u� ��IL��kW�^�v$����
��s�{���eE�/U
Z��
�� �iRs�a8�A�
��A
uqP�^��b!M�'F����u�
c(��d�������wp(Qyl�3��mi2U�S�!�����
R�.
�f�,5v��R�����J���~4�!� gy;���:��q`�3�lP^���'���`��SN�G�no8�
-��u��{�Z��'z)����������b�}aG�����OTK��M�}6��0�B��[�Vu�[ &�9��;s|�(JYL�7�'�� ��[���7���5����P�����ZyZ�Uwp�6�@=<rf����.|ns�Z��S1����5�l�*;�D�6���c�~9���'��V�0{q��_����f;�+K�l�
�`
��5��aBw|P��lO�����8 ��
����I��
�Y
UOe��a���;�����E�2�:��4��N;��Dn
0a*NMX�M��{�����4U� ���� ��H��@`�[��?���Bc��d����b���J�B�U��n��sX�=~�! ��rFyM�^�
��o��e�.W�� �]�������� �_[_Yd��>����B���A_V��B�X�x
�
��9`@_��&��)��
������L��M,U~8�������X]vz�$��NGb$Q���FCP�y�y*k�t ��Uk0�N�Y��E�[�|OU5�dW�\@ UP�[lW.?|�|��8Iz��),���~�Y�*Ey_Yq�qVc�wHD��kY&PP�6d-C��A�)@)Gx�����i ��!8�T]�9�r��
6���VF�:�P�aR����svy���at�.�Gos�*e\!���Z>�>1JnU�^>r�����*{���m_�:K�&���H�cY��[�3]�� N\���Nr�d�?b[5A ��xy�������L��@0'l�2������O{����c:\��#= f��*)�Bp��4#��XW�n�N?Y�0akc����!��L�p~wK�O(a1sb�m
��9�\q8���i]i�
[�=�ux�����V�YAUb���&@_�h��
@�P
}S�p�p���f�
��
���<��������
�+
�W�X��y
)�[4��2Mf;hx,�p�M������%����.G=9�V0��L.�t��%����v��A��e��~@�C��-
��>����� �u~K+�����)��n�����Y��,���"�+'�@�v�9|b��*����<,�I�
��Y:���B��!)�����J�m�`��C��
]5w���9f�-_^�� g�6X���z�Z,����'d?�6�gvU��g���(8�w*������&@��
d�������N@q�;L���s?l.S�EIg��tbW?�
R?
%^U8�
(��}t; O� ����������-�x�-������An\�}��s6�k���$���a_M�
��9x��
D���-o�����5���N���8M�
q9����
���?��#�U���YYK�}�?+�I���r�����k`c��5����_uV�\|
����� ���+);�EXx��l�Vv����q���NpyMRqSl^rF��a�
�4��Gc���A>NS�|P�&0Mi
��<$Z
�n��a�
�F�
�����>��<"��?�$���b%,7��1�t�6���������e����c�O ��3^�$ �x �l��x��
���7�
�� �\o�>�M�JUq>�|4%�K�c�C^\GuMirIm����
s�������p;Uw��*G�z��O `�J�<b����������d�������`�/�
f#�Ig����'�d$gqv����F�����q�w��O��
oG��U�V�NJJ� ���+.� �'����|�������8��z�^}M���u���8�5�
�[N��������������� ?gX�������z�a^2n('
bR���V�@�]Q:W��3�jq\�}����T��yD�n���B}9����8�f�W�8l$X� 0nfI�����=����8c� ����SjcY-b�M��� �tf�=k+v<����i�w�
�]T���"�bU�#u����]qAy��m���J<�[��FO�W��w~�
�>�-?�L�gp����$���?�T�t�D7���z
!I�S�a?�&�7�&�� {Ut��!72Z\1X�bE����K�X��u��
b
����5s�\��Z�YiBe��H�F�Tk�+����#��}0^����W��ZL�R����jr6Un7�I��f��d�#�
�c�
<S��a��������h��
����G}-�hs
\���p��������!�B&9��S���2����i�9�ZT���9�qIB�n���#�E4�2���������4&�����SO�,���eP�W7���G�����6����g�#�i"��m �(C��.� ����H�b(�
����
�2�^Ks�':L�U�`�
*sd5p�'��l/�J��o�4���wP������vp��� ����'���d]�s���x�i6���H�&��I���`�8��;���N��]�A��:Q''A�dr�����
I����`�?J�"�
a��[��ALK���p^
T�������"ST(��+f�'��
82&\��l��6
��=�gJ
�m�����P+T��D
]�&T_��Ne���T8�\H���=u��j*�Ne�-�8��
~�a���,��?XY���
� 2����,���
�"�I,
�.�0�����9��ksa�T��.G�H���Zm
i��Q�T��tSWT�]�x9+r�W>Y��[G�P~�0O�� �< X��2
�[b�u9B!FR��`z���9��������v�
x$�K�i;'[�C��Y%
����j+�A��C��WUX�������a�hN9i�UUwL�}����b5�M��#p�A��S
x�;�f��P��:�mxI�U�9
}�F�n��H����T�E��dT��wL��;�p����9�j�:���-x�,M����\�q!�0%��H4_�
x���VE'�l���u�&�������A��H\��J�^���~�fbx �
EN��d���Q��~����y�,�;��R���)�:Jq��4����~[Q�<�S������I�A� �w�n/AzK
��
@�J�
@��y���P)�0�N��+�&����8,�Y�?IE%*�� }G�� ��zyUE�6�X!�������Z� �� o����U3#\���"�e�3�|�c���)?��/�'���]Y��#v�8��q�Dm��Z�t�G� �r�
���
��
��0)�@��L{�h;���*���8L^v�r82�b_���PzO���o-�����
2|%
���0���k�^
���u'�=�&�c��P��C>b�a��R��g~Av��b�
��V3�^�����
N��!���O�z�%� �MI�=9����
+q�k8�1l%�<���5�CFo������������x�;n �f��)3��
�a�U���=t
��O��r�D���i_��O�.�l�BX&��%���������MgH�6�U�[��G}�`I@ ����L�D�9HJjs��j:`��o6�#�+��-���8
�
b6��lTt(_����}���@=�s@��~� �N�uM���[_"$\���D�V����\�3���8���v+��aSB��� Sh��D
-�r�ut }����Q_�A7��@�v�����i�8tN/W���N;y:�ku�P[�]�$����)������
�R
X �n���N���p
���cc��X�/~��"�����F�zt e���������ueDm����K�C��t4������1� J�
����� ;���&���a�*�{J�?����H�!�����Y�&���&Qm�����q�F�
4���ny��w��*}�4/������N��
�d��� I�
���|����(a �c�_M�S!bi�qHr(7I��gq�����n�.���M_#%���J3�<��_�9Uc[��T
�AUl��v%��
E����M��-���-5H'�bsZ
/
a���[�>�-m����^����$}�j��?,_Q}�/U:p��R��
��I}��l��^��
��>���f9��z|��A��
>��~d�e1]� a�n!�3����f�/q���������<b\�C���r��l�u*���b��^�d��!>�rU3�V[�P�����FJ<T�va�|k���({
��������`�d*�/�&����:������Nx#%]#n����Tu=*���)(e�D\���p��$%��-r�v|�-�js�k
�n��DZ.fj9
�I9��
]�NJ5
��+���
�����z��,y�X��:A�M8�W� e;T��Jy�J��Zz@���G�1��NiS;lw���Dj-q��L;B�y����;G6W;
n�B�'����M6��,�U�X!�&�A�6�
1����
#��J���T������V���h\r��hk�l�dr�V�o�A*���O������3�,8�pj�����\�E�l$��z2A����c6���H
Q�Y>� ��0�^)��mO|�m'a���$�, �$��wP�R��U�b��v?Gi4n������!����#�q
���_�+�G�r]���xfi
)��E�
��5��>��Y[T���'uPMRg3.OS��sB�m�t���,��r�O�
���<Uwy'!�%��z�E��mI��������'����
N�%���8C�c�
�j��������"��G
�[��S�[*K�&K.5_�B�Q!��e9o�PH1o�������a�8�`�{���Y.+[}9��",zU������=>�!�Ma���Z7��U��:�X{�UT+��4+0G6���z�����5gg�Us$R���q��]��E+
C��'K�`J��}Y�Cv�������d�T�4���v��j��^���]�+� f|����U#1 j����Z�;Ij����K�-K����gu�V(
j�
�����=��������2*�S�����n���
� ��;���L�,W���L����\�l����]�^
�����[�|���g9A��������,0M��s6�Ol�����f��������*���k��Q�]`����0Wa�&
/?h��Hxg6Jj*���7F�]�����)���'f����f�X��r�x(���/=��|�b�F�����j�F��1���o�
��N�������C��
�)�E�
r}��}
.xS���a��2%2��I�������������F
�����
]��d��
������Er�)�d!��
/��@J*�=
�PI�n�d�6���!����v2?�|�%:�&�� W�s6��,
b��+'g���PoZ!����oe���3{�����49�������O�J ��X��]��Cm�[%���&�����O�.E�)I�82�
n;hM�$����
Tk�<�#��Obdu������$P%��2�j�
�n��k�}
o��5O�ir����
�K��&�>���
@��$�M.N���<�
��N���
��I�h���� ���f31L��������*��[+�5�.�&����=0�"�QA��\��:�������M�v;=�n����No����(UO�cm����p��@/�dT��*)�J��
d���6���
�~�a�6L������r=�,GO7B�B�
�����t��l�6������v�W�S��U�W�!�';rr���������s8������=
�M�[) ��Qk�G�����Z���K4�7^>W$K��e}u����`�?�e��n��8,��*�?q
J�5�����y�t�������1mA���(�m�c����]T"<�
2��b�, f2�.^������jB���2@����0��S�P�(��t���
�G��3��d"����c���t��z���
�%��<
,{7~�
^viZt~�X�B��-�Z��?�I��J�;q9�v
�\sD��N��'8�%��S��H���+��L�g��Q��F�b�k�N�����};J��XGA�A���b��P��aE��{;4��'��g5�3|,��~m��4��t� e ����}+���
��,�
4n Oke���T��}q#u
U$������yt{���n���v�|�=V�z�TvEI {���������\v��K�0�!�y���.�Q �/v�XqS^�,����$�rX����L�D
�S��X�I�E�����b�����y��[����
�y��k���RH���Kr�?�Q,�)����J�b))���l=��7���z��o����q�
����A�X��f��\L�L�0~��ah4���U����VVE0"m��,�R�����s����;
�2 �${n���V���������^��t�\���Gm������-I� ���O���R�;|�c;`�8�B���:��-�a��s5�&y��)R�n�l�$���H����F��� �E/�>j��Nw�{�[%���
~+d'f���5��O������oq
�} �
X
��[��T��r���ey
��@���2=n*��U:
us��GR����y6yI/c��i��lBQ:/���h��>uIU�
4U�
�\���i�����$�R7&�k��� ����1C��Z�
���
LRG���e^�f�\=
v8��C������������>��� &���6���1�$U$9���� �
�O�A��]�!��h�60��=z8��3=�fv�78 v�H���Q���6>���RC@��|t�x�V�k@)L0w6}�.0cq�]*���r
^��z��M���F5w^
.�?�Xt�@ 0�=Xa�O�s��aV�F��
%��&�K�pf�4h���p,
.�[�^��\)�a@���6�1,��A6��i�k�f��9��%;C���U�~B�*��D3�J*2K@L8FS*#��&���$�����]b[v������l�^��m����Sq7�}]2�,��k� ���\���:�68xE����T��D�����)r�r^m����e~}5�7-
�`�����8
,-*�������Y��
�wYS^�QT��U�L���?���k�h��=�������
�6��@��&��-K����" Hc� ��2��m37DhR]�HfG��`�:�������}(
���V����:��p``n�����r����*"*����
���3T2Y\��
7k�C�
{
�;<T�u���F��N<������\1�iD�p�
z�Z�5��2P����!~V��}29�bH��A����� �8"���}�A������+�x`�
�NA#�lx�0�:��3��a:�9�%�}th��������=�i������~J����l,o��;vd-���3�� �^�����8�!��p��9_�F�a
�a��q��)>��b�����Y�8� ���U����O��;�}x��MB����.�i�u�:����d�4Y��@��j'�/v���eY�����2znK������#���M��a����=��'�0��~T�Q���ZJ�F�;sF����va��D�
)���7���p����,���<�D9��aS��\j�cR�O���c>5�)<��$��-Ib/������`8��`Q��xKo()�P_��������`V���w�qf�b��c$���
&Hz]j���t���:b��u�%�`WA`)�G�S5�'����q�^3� �m���B�u�����Y'v����q����U�&V���NL.������Y�C��D4���3q����=���m!��2L���N���>���
0�-[QW����r�<�T����
��u_�n
[���Q�-o�
���wp�HH ����zU�`�3(�x�!����'�6��e9D����C� Y(���'d��l��,����� ���
b�y.�D�����
�]�W7?����n�����l�����S���������
�x��8��UJ�y����
�_�}��xR�W�oHp�����`G�\���.g��"�v����{��{����(qw;
�������3���2cPQ9��A|���S
������=��� �������3�K6
��b
h�
���[����a�0�����Ty
y��&�2�Z3����`���;
�r�;��Q������� �W��~0����d�6T���`
�)i�W����#����_��'>
��XV�\��y����j�����
��{�S4=X��Mw[=�I�LK��
$Y�
��QA�`���c�Y�sH�x;�>X��3)���@D�y�\�� �G�;%�l��'���X�l�G�����������d�0��XO3���
@������6�j�F�x�u���.).�M�V����i�&[�����8]J�b��[
�� 6! '��
#N D�������3�F�f��dt�RJ]��1��+��r�z�Q�I
w�q
.�+�8�/��u��p���o�(;�P.����G���
FOSz
`�GQ�F
���)�;�"aC������{8��p�|��k�mqZ�[�k? SH��E,�Q�a��V*�
����n���c���rB�G8���8>)8��$-M�X�?�e����izO�}���jw�$����=n���fI������"G*��Wo�Pqa����1�SB�,���D8l���-�0m�F��W�J�YDh�-����O#J�p�����R#�b3��bS��
�D���������v�����'S%��O��lG�
�J!i{A�jKw���<u�3����:�fV�myg�s���bN�-�QvP��r>��&uG��e{����!7b�!^���R�b��
��S� f��o&,pv�Tvu�Lf�Xg�!�?��cls�P��+��y��U�1�������?���������*�����!k?���o����J�5$[%D������ ������x9
�=�B&B[v0����B��K� L�T]b����3d/��q���Q�y�9���
w�����������M�_�W���X�h���x��
~�e�H!���?e9��Xw��N��`
&wB%��ATv���'�a��D�K���u�
�9m�H
{��1�{���K6�e�UB�,o��Z[��&'w���M
0�Y3nB��e�R�8�3��
T��U�|
��d�
o�m�!���l�W���M
�R=�{w���2���.K}���&0����)c����D �
�
�7v���0�Z�EI5�5
�r&]���@��<�@"U�n�y@b8�
�R�T��G�'wy���\�0?���{$� z���lJ��!n/?w4_fwFyV���K_V�J�d���m����4�T������� 48t�'����fO���<�R��;j�+bX?�A��b�
}Y�Q���U ��G2l���F
�Ldr_�����4���b-d�8��MfE���i
�$��1�FL�|��V`�n�?��h��j��� '�*����#�2�zH��|w�-��� tg� ����
���:]2���TI<���;����8�����(E�Q����W���b��m��mL���c������B^�m�$����"�D+*g�s8/��>
������;0
�9����������#������
@������T�KB_0�x��v$5U������H�r[���i�
m�d�?S���"
p����y���;����9Jh� ��S#��
"W�y������a�sw'5�[��\za�4H����
@����X��*����`���'��M�
7&������2����Hv
r~�6����`a�c;�d/� �$�����*��R���sX�jS
��J���"��o�r �)��� E�y��y,�����Ql������e� so�����|�z��t
��������|���*O
�+Ju!Q���?��&�2�cq����Kq=�Y
��-���
�2�7����x����[��K��E�;J���J\�
�q����BO�U;��C����}HD ��pNw}:������>�X%��J��k3�p��\�0$�_{����B q�u�@|��^�����eo�����%�3d
z����E��x4�n�o��W�
����
S:����sH�LR�����<�.v5
�Kq@��*�K��
-^)OJ@�f�8� �i���Z���A.��UN
9�=
c��������^����H�, %������i���T���a�����
��7�:1��o�5F{:� ��&�b���G���x]�`����9�%+���
;���A
�#���]�H�� ���B�����(��N{���9�����N"��N"}��?�U�~����7���b v����������_�����&��<
�
^�C��J���W������� � �v4���
]���
�T�t�s��a{��9������=?��Sx~�Bs)�asH�(d����,����Mz�o��~��������=��3��I
}.���{��9a��"������&������0���px��Z�R��
�~����fc8��������\�����Yy�d�X�+�Q���#8�b�v��+ ��[^+X7'�.��,XKU�
�Cj�GQ0s���|�qOu��CX�l������K�O�*=m��x�����*��C
9���c����*D
�Fu�~y6��B���,�Xj�T��O#���&I&C��[I^���K�H6�2ys
r ��DJ9����@�&��>h0I��u.����q4J������m�������h/������$��1�Q�E���A����g�j ���6K�r�.���5�I�xZ��alV^������i�&�@���=��p�T�1*6����Xk��i]VZ�g_
ox����U<�
�Y�������21���W�����#|�[�t �B�*�^7 |��\���^�!''��q��;5t���J�$v��E��*�U��0*Q'�/ �Zs���8�G<6�T
�S
�(G"��k�d�X�
O��7m��m��)���(�X.R
�|�\�����t��U={�W2L��=;�p��,�|��`q?�{"��uM�������!�>��>[��!4�$�r�A� ��*�`��)��^������!������aZ� '� �j2�OJ�@|�#����n��U
Is�;Pm����
��
������@�����Sv
y3��* J���r���
A�A��l:�'��3��K���q�`4%�N��r
��(��n�O��8�����<��E��K^��s9�mP��2
x]�%/W��b
���%�{�����(��VU��(�rL�6'�P_Q$��s����O��(�j�{�C:��$��
����!.Ye�
���]B��9�8��g�H��[���|�Y�U�r�
8w��".�@���
8��*��[
u7'����]r���
Q*Z�T�A�^\�}t���d�`��Hp�i�@n�sG��NG��'��p��%�T4v�
}�q�>e`r���1]���k���om������\�sn���[��$W������:�{���6�+�T0��
v>�5���;���w�f� ��%�%+�T��J��e��NL���`��1'�v�6-�ab!�������-�� h������hG���n>�1K �w��-sF����%
q
QM�P��?�Nz?S�`��K�w+n�-���9�L��:����������)�#T�����
+�,��j&�d�~E3Y�
��}r�Q���f�e;,B�.��V�(v�����B]\������ ���np�3
/��
�6���S��)�|���q����
w3��p��d��i��<�\)�Tw� �n�o*����H�m��8�3�PA�~�U��.��d���������N�
S\6N8�������������u(��:�(��C|XL5
�o�M�ay91��.���:T;��&
�Y�����ui�����EE1�����W`4e��l��������I���(�pG<v;bu�4�O>=!]����-�mI| ���&�Op���K�w�&�w�6�ET�f#�~����e�h�bV�
����2"C|>�`s')+����\�K�.�N
^
99�
��[�wUb{��-�3��"����R�X����tb9���7 V$�r��0������>���_�K?l
�wq.
L�8�%
���qm��b
�h�.�he�����N�F�BS���d�3%�|�<�5^w}-
*U�����B������7�o�
�Q�0�U����6�u�^v�����b�#G��G��~��I�h'�
�N`U���m�%����p��o�&O�3�
�@���mbl��WO�^�.
�p�
�+�����.���q
��Lr�&3*��b��S�<����R�b?��GQ����7�h�@���i7`!��d ���P�$b���B@ �Hr��n�[��jdEb_/�c+/u�.�uPI���]W�������
�����`EV�
�e��Z^i������%�~��K���
P�4g���
�d��!���IJ���U���A$��Y���t�|T�]��t��
��e��
(pZ��*�v#_�0@�Y@�/fG2�h��<��u��Yr�p����tx3"� �{��T��0���<d��DH�p�,�/}S���g�� d|�
6��U��K�����{L�=R��
�
��f:q|��O* �3F�����G&�b��P 8�v���q��:>��2��V�.��:�F�8
.
�\U����[\��Kl��u��;(�4� W-��9���Q{�^r�
�Z����LbV���6�����������U���u�������e9��<��4���4-���G�
A���y����{�YY�����1D�
7��)�f��Z��d�� �����m�B�cY��������uX
����,vz:������
�;!MY�!kV�R'�:,{;�emH����+���YovDZ^5yS��j�J[4�<(�X��s����pF�<l�
EU��&�CW��;��x?
Qj��a<+
M���������"�)*,eU��c
�1B�d�X��\&S�JV:k������o)����8����$ng:�B���X���
���+����R�����i���[�&l��>:�����i������]G��xX�L�H����� �.P�\��B�:��,.I��Q�I~NZ�B����
�
XDXN `AeDF!���]p�
��
��jMn�� �Rb�
k�-����/k�zS�����n� ���J��"���<���( s��B���K l(�,A����]��j��X!�%���1'��O��j��p������[o#o�t�C����I%� ��[<��\y��Az���,��f��h�u���mJM����b����O���kG����*Q�#&�?N�'u�Y@,N�6�
�kU�u��H+��&&Qj\a��H�1�7.�Y���R��|+�f���T���FV� {
�,e�������� ��`���s8)) ��
���'
�[���_'�]i���[7f���"���j���G�%1�M�}H&.�?yBWQ�
�
Q��=�*+��������i���9*�i�Up6K��d4�������BGLV'�t���F�k4�,��[�x>���Z �$�a��)(��+�l� Z�8/H���<
�6 s��^�%
��
�;jZ�"���$ �
7����T���j /�U�I����i<8�E��d��I��� ���n��� �"�f/��l�1Q��i������)�~�m0�
<�&l����/�A���^�����jS6���B���NpP�S��X!�q[AS���,��U�����H��L���l^5^��i
�TQ��Ft��l��g
�:�
GyG5<�h`�[Jzb�hm����b��]im,"����
�)���)�2a���P���3�
��X��Y����d3�����oX���A���Q�x�h���J�����"���>mf��=��
�����p9��-WC
H��[����e���d4�q�Q�
]\�����T����t"�0�0�o,��������
X��?�g�p��!N���� ��*���3����������'��E����ea������V��=�-��
��2u��_1����qZxJ5
��m
����\Sn�n�Q+"����+����0���
C��W���
-q�%qY8�R"�aa�8�+=�RF����Q�]U~�0���=�����;-�O��q�XE��"�
��J��1a�lW{
�Il������������g&~s������w
xv�r�'M_�x�I��R�'��t�
�R
��d;*�P�$��9�3�Z�k�x�W���Ji����<E�y��9�u�M#�����G��,�X
;L*?bvX��Ua��`�%5�}R���+��)
�d1/��
���L�y��PI�`y�����b"��@@�
�L��d�ad���cN��� o�����)j/'��7�J�re�u�Fs~;��e
�1��v��i�l0I};>�E���
0�n7�
�f� ����Q�vQ��n�T`5�4����uU�� L0lj7�6�x";�:J)� ��A���M?��%a ���������~��\��a1��YYo��,�-�i+�
9��4��&��*�
/���-�R5$��j��u�&��
><���7�zY1q��{������5v�G�^�Y��a��}�
�eI��G
-y2�~5��6������a�
��Mz�
m�g2|���6|E3������@{hA��|O���Z>25�����8
@����m�8
���r��erQ
RN���R&�Wk�����*�;���t�lIZ}D�,�=�����|�M�f�B&R��AD�0
�����<�#�T�G�Kar�R�!N�M$��T����:/������-�A��#!�K��&��$�#^*4�����F�f;�����%��m�J[-�"Vd)ro�Q�@���mOu(���; �
���T��:�895 �~��.
0YI��VT�Cp-�H���v,�R��)�i��F~�R���V���wK�h#�
�xnc
#"���5�,��[lVx�C��kaI�f����d��_���`2I��d��f"��?fN
Bj)m� �nZ;;�JH ?K�>���L�
������bb���f S�R,���VH
��
��D�nY@�&k��HK�]/r<J0�]`��R.X6I�����,&���J�T�+vO�~��"�:���jP;���-�M3W������
�L�P�<WR�������Z�'i�/ur�nb��
�s1����D��} ��
��o�e5�u���JT�JZ����i��]��x
��Y�����5��~~�
����M�
�.3_����/��S����1������>���NQ�� �T�
�
o����
�.a�Tp�7��
K �'���1�wA!$��
cx������C��"�����R�����xJ�(��*a�C+�s�v��$��+��\�w����������}3I�.K��m�� l
�n���*��u���$�}a(�Y�`��|26��0�
m������AR �R��9�~?fq��(N���wr����de��E�
����+A&����v��37�0��������JIE9q�-g1Y�
s,�x�{�����
�&F;���X� ����<���5�H�1l��r�`��Z����Y�~H4Uy����l*{�Ki�s�]6�0�^D�
����Y7���c�������MJ�u����}P�:�d����(�'���z���TN�T+���3�@p������
���Lh���hrAm�W6>}����XTOOm�dx�R�_l����
I�bj��bQ <^���`6[���iW��T.��_n��i�`�m�&����8�%�hP:[go�����m�����D�����1���c+�Rl7�a�kLL��}� -4�����K�d66
�p��xMhX�!|%��;��?������O�Yp����
���e��0'&�
�b�8~�
����
�P�
��A��
f��<��L�:�A9��x���2��2�S��
"�
���iZ9z=������G����m
!+�8���� *���\
��+���-��>�M9%��e!�
����,'�%�`q��9���0��<= ��7���������D�=j�� '\c*��QL��+/d-���a����G�V�������u������[E�8^����p��Y��X2�X�gB�aX
z8��+��9q^n���R9;D�Rb*|�i��KEL�9���
�_�w;���2
I�%"<�xP�C�n=F����
�|��������O]����������P�2gn@��
$����y�^��V��,e`������l�����!��y���=N��h��3���6�0V
�r5�Xl����
�;��Gw���l�>eZ����`�9b���u��T�'�0��q�&y�
_
��L�M��zU�]�4'��8����<�n�e����)�-���B��hCfL�p�s���-�-�.l���>���Ir(
������O�
��H}��K���"�p�)���Fw�\�|�m���<`��!|�s���B*F/���>B!���Gt���m��� �gm���`��Jn
6�c�
�K&;�Y10f�[��N�t��X������q���a "+��9) ��R�GW���
�KV�m�"�6?��
��p ���! &~����\@
R�Y��T�r ,�J���U5�[F�3-�
��;��N��8
`���Wa����}[�@l��W����|Z��F��=&}�{������ /�t
��i��!�6��'��%�fl�
����S�i�;�����e=�2_��*Q����-�
��i�e���T��B�3�z�(��y�V�
o( nR�w
�c�H(��X �X;��G�k�f�����
�������<��?��dB;�^9`f�&]��?��'�Kf�v����-VX#���}Q�3U��s��K�C+�d���~���"lHU��#iNJ:��*=��
��5�>�N���0 �{�S��G�@|���������$�:[4��i�Sj�h�?D]Y{+�P�^/)������
?9�0����Ri(���j%� ���=
�J]>�t���>G��
�/c)�_S+�(�D
8}
��K��J�+
$`O�s��^�&�( �j���
�����6L�E�vDn������Z]%��[$�XgW�WVK>��~�>�LS�7������Q����������"�o ��%(�m}�Y
��P���������k���~D�F@�
���l\�C�
|�j�^�J"��~��\����p��-��;#:
��%�^�������� �B ��)q4L}VqgR9G{����v���"V�%���g>N���>�%��$��u�[tP`r�C$o���\
�W
����~w���oI6B�b;�cVI�7 ]��������J:���v�_d �5lp_�"g�mr��f�aA���|�<Sa��5;O��������#�uV��f5`nU����!Q,#&|M��e�'Ms]s�;��������-��K
���H-������C�W����%�%}$t�X�6u��0���n����0�Q��
/�9#���k��9�i1��_{�����
���5����\�
����X{��IG�:�O���c���u���V�{:�f{������
�(R(NJ6�b�������������=m���S��8�X���!�hL����l&�P�:%��m)��4���e*�I'@�4U�S�D���\�5>��:�z�2}��V��b������
M�E����$���������r�t
�U�Pf�,�u�C�\Sd�@0���{���T�)�a=>��PS���,������xc����~���pn�S
P�9CLi_������_*����b
{
�e�-�j3c��� J!$z0I�����Ku]����#�����I
��w8,�m�n����I���_}n����<���w
����cT�uH0���_
��fh����������C����
���
1�!��R�n
Q�-N\��H�p����{���3�m�
�E��}��:�xfx��d����.E���[�`�}�Q�!�$ ���S
�9�+'6����7����U(�9[:ig�h���4Neu���
4���$IOj���wm���~�4n�
����E��
R_mu
/���%�=����e#�)y�dTpV�Y���^\��<��&)7�RA����l��kE.��(B5���kJ��3�OvN���S������wC5���3l`�������0+xE���ft ���n������%��=4I���Q�\�>(�3���u�d��� 7cu�X�x.<�.3�?�#7E1���0��8�R
��5&0u��~^���4c)�-4��2�H,7����
4fclv+j��W�j,8���~��8G���}�/�iM]Q<j{VH���nE���
^��{u�U 8�52�2o�D�SrHV@�H3�|�F��d��z9�V3q����UB�jy�M�0��3�sD�
������|�P�*��6F������
a�hF
S�.��I�����Dl�O��;��];r����T�����X�K
�!I:k|#�� ������k�#oe���s~��UEP�~6�|/i��|��#�]v����g2�p��
x��8���j��]��W�jpt�qe���^��)q�SNv2q���)kIEf@�6��U���������Go ���;O,�����}:���|
YT��T�[�b�jcIu�� 7* �vz��G(��vh&������HT����9������M�
)@��������E�h�=��N
����q�0�]�7PH��+*���Z
���������?kcm �A+QE"
:����b[��1�d�z$#H&�����4c�*I
�>
��L�g*''�wW9�T�� G���F��n��2���{�|�D�V���Wq�F�s���
�y�s'
�nB��s8w��)���J���`Uc��A�]uEgQ��&e���~�������48P:i�\
�7�����Jn�&"�����`���>9�#��+�j�&P�L�;�^�{p^�M�2�z��6�~/�O��� �,��$����z�FY�ig�� �N?�F��M�?$�n�����
����6
���}o������������.��7^���]��W.%�U0���r\g�i�;� "������|�
�z�E�i��x���S��������5��~���w��o�N�n2�q�|�����,���s��@�8
b���
�ek`���eR}��(��Ka�d�g���U
����_��{�*[���a8p4O��rl��,�s
q���R�q>�p�X�Js���>=X
������f2Y�;5�8�]z���T����yz���m��5I���6�
��6����i�>>H�.�E�u�f�$�K5g<��$��#�x�I���d�����*(+�
�
f0f����\��q�N\������z���U*Y�4d��w5y?j�&�d
Iri)�eF��]v�v;�����m�v���_T�K����r�v���f��f���������#���6�+uE���X���J�sF'�v?�����L<�*�.�}:�t�6�����y1��"`�+� �`�~q��-vx��D�J���,�M�%�
fS1b^�T�T��y���n.�����=u�"{����}�������
��C/V��2PV�'����-�z�B��]�m���-W�g+F(#�
f�G)rY� �1�B?� �*w-������a��F�1��o��C���
%����U��d���WMDF�����8�3I���u@��8y���
���h��e%I";��.�u�������C�.l�h=~���x�q��^�$�
{�G8Lz�{|�\K`��aW���V�Ld_��.8��l��P����G
�gUQ�B����o���T� e��X�/����t����x���6�q�%��k
������5y���V�pi��W�Z��,���g@��M���pY]�$TymT`8@�(;..�
�������������
+��9P+��
lpS
r�i��
��83���U��
(1J���iM��`q����R��EY�*���[3����e�'��s�h H�nK�
��Xx����|<h��s]�
*���9�=� �t+-0���kV�ZZqE�f�1�bV���J���I��a� ���"���
- �c ��Q,�v���
�=�����
G�����Y��W+va���B��*=*OM��U5� �gY�?b�5Ij3&��X��
;��p��4��] [M|�8�B`��-zm-�=W��A+��:�j�Z1�=e��D�hH��[�U��K��2 Q�2J�./�R^D��2���U2:���
�C1z��s
D��W��-�Y.Jhk�������OZ,�'��zf��k�DqZ#@�x[������s�
�Y/psv�m�!��bJ�4o��'l��Ia��pc���T�Z�0"��
U�w<��wWi��+e���P.���q�X��QJ�[/2�
����%;���}2���r
lvE�g��P�h���?����QN70%��?��������������p�����:�s�w����b������i������_��
���0r)-W����
�p�a���
&���<�|j��s�L��-kV������lB
*�����^2}b)���u*�a�NPs^B�u��/��}��kJb�
�w���N�'28Zr6e�F��]v��"�����H6'
�`�l����Zi!n������=
8�N�����%*�a�I��C�l=����y`�����r�|��4U���%�V��k|]� ����)����#[{��+�N����o6�/g��r2�I�Yd�;q��f�1T�eV>�1|�P4�2R>�+a��q��5[x�N1� �
��ep��K���=A���d/��X�J��%���9NI��)�o��o>�jI�
��kc;d=�� (!&��\t����)�j�b�U6R56I�+u�mP�:���7����e#V�Y%u
�
�'fX\��aP����q�i�T�s��V7�����^�p8S�
�
ky��&
����d����U�
�7����Ekm�v
�>_AqbP����`�
�#���gQ3����<$"�7n��pbs��r�����q���9W/�h���=��x�&��<���t�!����@����
��c�����T�
����KFR�+�+��7��(R`�t��[�o�
0�K�gGf�y)��jx�,�����6���M�_�
.�������V9��<�mE�Q���}�u����D��p�wg�$#}|#l������V�'A1���b�� ��_[nA��mFR��J�(������J.�������t��
e���%������M'-e���L���,5�C �������������&�R������t^
�����!���<�]�0
��|��
5���_aO����k���V@�K�H�_T��p&��<������I�4��I5�h
N2 .BYf
��@�S�T���rH��������- $��Xufn�N���jd�B�&�
��3*5����e��7����dJFg�N��=�������U�=���@�a��x\B,(���d�,Htd�����*O�b?���e�,/H��g��>�����> ���M���k+8���S@�z�`+��ep�O����t�s+�p|�:-G��~@���Y��F<����[���}�����<M+\��8�5�� Q������/g���x��1�K�1���T>���f��k�1�Q
3E��m��������>��*���%�?����2`:$P�c��]��d��cM�R��r�
{
�4L��L����S:7��������9���+�R�i�'5
3���N�G
�m�\��mQ��4�z&����z����0Wk-3�b���k�b��� ����*
��Lgr�8�^j��m���d��%���- Ak����E>D����@�2�bT����Pv�H���
��W��z��m��]����Z�d#�,���
�h
�I`!�$�����F�Z�(���$ab�
�R�*�e�<G�3��u+�bv�&!�n�F!r�������� n5Ey
��� J�P��#�\�~�P|��$������rZ�Y`Tv7��r�t4�����v��f
-��>lB��<}�)�t��������i����;�$�X��wRN����i�cF��T����f�l�����Fe�C�E��|&���\��!I�7;�k����
FBz���F�����
�q`Gp�
\�X�����M�l>%$n�����Cd��:��E ���JY��l��]������^2.J� �>��8��9v� ;��d�&nP��H_6~n
�T�Vkg0��!1�X^\�� ����2�r6��
�h��_�*K\`"�����mU"8�n�8��������m�� ����N�dN�G3$���/���s��!��Q�C��e�5�c��
��
�j�����#F����9N�7���U���P�"��y8����������<�F�S����d����=����F )
2'�-E�
��������
d��������
��� J��8���Mb���M���4���U�����M���
�����#z_D$������X���{�tG�����eO9�+v��]��1���
���S��`E:�g����@%�������o���Y��#�(d�8�W)��( �d���-_
�J�h9������c(T]Y�T)��$�1��Nun��
m_l�s�n��VR�E�q8�x�i�s
G��[AI�XX|������^ h����q;LW��r����D^�Q,��Q����9E��Gu��:)� 8�-��v%������~����6�T.��cKb����)R)ks\/3����Y���x�[����w[�x�q�+������a����,���9���KR!���D���
Js����z^\[u���
f}����Q-^;��I�\�t:��b�v+vE�*n3[K'����S���
���2�"��}��-���-�U)�5|�X���
x��Y���da�I�bU6I�����G�IU�8Rw����>~�� �~������������ux�C/� 6�9�\�[�E=CS+) f���:����m>�H�sKvK�i������|���G���U4g^��*
N"����r��#������_F�����Fx��>��S�
�%��MR�+�e{��r !���
�,���M���T�:[�����2g7PFO��Y*X#��^)���J�@0
��&��*��� Z�����-b�!^D��bs��(�-v��K](���sJ���k�1�rW,��|s��>]�.�u��kl�]�
�o���[;
r�D�L�"#-�`JI:�XD�\(e�'�i� �,�$�
�����SVx�_6B�b�W��aR8d��f��[�.�u��YR� 7KN'���x���V9)���Vo{�����<r>�8~�0.�<�Ji`������H��S������}���_Z�v|
�X��7 ~j;���s�t�,����^h1���P��{�<�������h)���MX
3g�������8�2�hR9U��w?�g�V��������
���(
�=,�Du��(��Jxu
|���U���;��I�E��PD��$cz����[e@K_E1G�Q�r��[S�j���q�D���[w��,WU9���l��s��3j�@Yg���Q�z���
SNU[�}�*: iu��AA���KL��
(�^ <���I`x���h�������
��
��
������� ����5'�2�=(uZ�
#7qv��ibq��f���5��_�
g�������TJ��_n,NRV���q�Gm����f -
�����{��E���c�����&\>��
W�=U������X�[�9^ -%P��,-n�W�g<���q\�|�Y�M�Xw0����QV�xM���uQ��>|�d�����������*��?UT@�����TI}���8��93~�u������`ek�� ��h�
�l�;d~��ZJ%B4G1���� ���s�� r?c^9,�L�C�R���`�/�������q &%����F�=\$`��
N�d�T�E�������s�?��Zug]�NBZ���U��s\��P"2�����%N����r����1�]�
-9!��)8���M.����>���C������ �' ��el��� ���QO���
��
0�R�]*����6�tU�� O�,&�[� &���T�������}&d� �q�������
�&�����l�7��9��O��`?�f���?��n)��7!�B8
�����B�SC�RaY%�<��:��Fu��7UiZ
�#����:�UBTB�30�=v��Y���:���o��l�X
��F��C�
�����
Dr�
�������
���
�PL���v�65��� �p�- c�,��(
>rb�:�;�r���2Ig
�!08N�
����������KH�����
�.��������� =�X�G�����U�����$f�v��2[����\�t�����"r����v���R���%��U�8�W�&�������s����m����F����Xr�����Nl�H��T�
�;�'t����Q'R�Q�E��m����E���.I�������26%����wa��D�l>+
���3
pg
�%���D���Y�����Mb��b�z��ZU�����L������9uQ��~4�3A�M���o+��ac3�l��x�+����u0����IK's����QY�q1����2��ds~�,(�
�#�Qpm��
|�y�����(�I���!����_�u��'�M�3fW���i%���w�����e(
����ZBeE@
��O(
?r��x����@�h�� ������\ 7c�}1��XCp��Kv�4�������6r,J����x��k�;�1'n�R`2F�����4�4'��B$�'�n�G�3
��E�8d�M�ht��&
%�L\��bc��������$�%���T���SI�rp�x+�
�_����I�GZJh����eu_�����Ns�S�4fS�]R`9R6��n;M�"��@'
h�L$%��3��K1�c�j�������_G��H�x�4u�[ak;:����}�
&��D3�63���P����?H�?�O�M�W������`�)"{��ts��CF�bQR����{j
�o���E�f��f/�"���uY�c�[b���F�X�72�3z5��s�����g�"�������d)qn�_2<�n�
2���
|6�����-�X������c�K�8&���%�"��{�Z@m���>�2�����N���_:d�����&�������Cp�u\����>�_��[�2T�SN�>���v@�s��.�>��@Pb�wF���F���,o&�����CU>.
����$�'���a)]l��j���y��=-������I�Y
u��G��w���Q;]
y
"�����1��!�A����+��y�����,�������� �5&���H�:r����
����es��
���]��iO !��!��0�X�
[���
���&�1����?����w��������������~����c�s>�,��F0K?���: �xN�a��0�
h`#�7�C����XI�����
{���� #���g�k�p�cA��� ����W��Wu�W�O��8�n�i�hi
#�@{�V'��C���������ha��i}� �+�����i}�m�:��
wN���SVl�9r|�q���3�s�kU!Q�E=y��[��G�P��B���T��Z��h��k��QXD������M�����wi�YvLny���)����W������%���n�'q��D"��aR��b=J��(a(R�s)�~�������!���.�F�"��%ki8�P�BV�P���9L�����3��0�P;y0�{��!r4cQ%�����:���,�d�����p����
�7���|\Z�`�>;���&��1��%t���1=�S��$�?-paBVU�����4X}1�D��a�/�Uw@�����A�D��:�����%�S�� ��I�����>�E���a����4r��T}��V����i"�_R'|zjv���m��}���r�3o�r.S� NwU��,f����r(�{�D�+Oax���
qm����9�*����_!������s�������:����eu�S�3>%:P��H�;��d������<&��*d��
+��s�/�'z�y�{
+g��c�\� ������D�ZJ6�X��xSI�\;�����EWC�GQ �O�p��f'V5K��Ek��n����a���e;K,vQ'L����p�6b�����>y���7J���K2���6X���v�����n|�r������OQIv��������������jy�Kp�8H���1�Sh
�L��N)��$_{'
�%��bm,�9�kI[m�lYjPAx:�Bdi��s�o�m�r9
�<~l�+��>�|Z/���au��}^[�Iv�W�����b�[�K��)q��������
�{VW�<9`��; T�s8=��O�W�[>����
mN�����x�G����X=QB�Nd�����%�3 ��G�
@`��<�����b9��UZr��i��l����j
��#�&��H��v��Nk�;U�P"<�0UX���^��1��yv�_2lr����a�K�S?$�0��:m;t��msD�����Os<��I1NP�G��N���%�+Jf�AT�q1��%��
���j{qI�8 ��2�����#��"!��O�(1�.*22�T4���2d[@FJ�u�WPL�F�p��&NG�qqr�
�R�rI���A���)GK��%)�B8I("�
��('yDr �]�s���+,b+�j �8\ ���&�G�)�K��0�{��n=,�k�+Q���
8�d����i�"K��
�q`L��w�,$5.��
3����#���d�7��.I�v;h�.e�R�8NS'�������)�
`�!O�j��*�Q9!g/�D2`] S��u^\��� cU��`��{l���
FUXV��lU�*���Yr�����1�9��Q� �Q��8��X�����0�+��|��k��E��C@R��*+�x��wP������V�U74
�K�GS�e~v��� �A�d�����I����v��l��1E�������OW�������9�/�u��VM�
-����R�Q�������n&��Scs��n*������)[����*��c��� XU7A3�0��M
>��mG�_���#���"9U���G�4����
@Pg����|�
��+
+v�N���*�'�:E����RUZ������)��?����~��+;n!��;O6����C�sL�?Zo��+i���
��
�Yj��p���b �sef����������c
���6��,�������!S�J�W�A��TW�{��b�9U����J��fy@��
����a��H�1�� ��<��F-��b�;P
$�
Wx������}+�
�m=��o#�'W�)q����%��u�Y�r�.�s
��m�oo�=����j)�����]��20����p�
&d�W&^s�&g�R<}v���� n�i�j���x� ���G'�V����M��
�@�*�k��:�zs
�3}F�������Q�������rX2@��B���P[��cwm�Y0S�����_R�e���1�k9)9A�[nx" N�D����G����8l����S��'�h���#�*
�a��X�Oc *���=K�Ep�X������1���(a�<dd�8���
�O�(9���f�5l��}����ku����I
��^�"�VTI�I|�U��4�6Q�R�3�����A�D���������9��8��[�t�/���
/p|y{���/U�_�EW�_�q>��
�qt0�N�m����
�msB��N{�
�B��Q.[�o���8Q�`��w�GU����
��TW�Rz�j����v�r&������������HQ���.�(��!�[V�r��
Ky��b��0��%~H�\V�M8N�p������X��k �ah@�'��B6@�|��j7�y�w38�N�%�K!U���������_zB0�
WN �C�N�'��r��G�?��.�y�H�l���b$0�������O]=�W�x
���-G�C5dn���
f
�����������v��
;���K`��RQ����`
<>W�c�^��I�@��]u
9+���}X�7
�l��
P�a��G�AH��� ��d�w�$���!
w���� ��Dw���8���L��f���K����Dg#f!;���N[;
)
%��*s�����I��T4l���b���2G��0��T"d~���^�F��A:����s��$�(�@�1�`�F�l������>VU%���XIF?l���������:����F���:���8<��(g�f%�3%��+8������J��4;�R��z�H�c#�eQou���R|���������'`@����������qN"i/�������lK=Q���b�'d�}��:�����,Rf���g�q�� 2�p����'W�Z:[�4��a���[4-�>�Ww��o��<V7
�<���>���
2l�M%".ZQ��D��7� ]�^��+�5�x$
mJ��]�`Z4��J� .��L�a5��Sx�V�Eq"G�h�t��
gn�
�o���{�����K&@]�#�9 �Y�v �\�GZ�r�%P��0{���C�Q�1����s�M\L�
l��`$A����j%`�l����ef5��
Z<I���H����4�4wR�U�p�������F�e'��hA�}��. W] ���!���%�#�(g
�(\�G�P�����l�J
b>P���{`{'�����,3��i
.���+�������
E=<��'G��
rR�d���z9��aD�"P��
���#�v���PI�Nu��U<���9s�Y���^���������>C��WYw��
q��E���RFJM��H0wL
X����rj�af/vJJ%������>�}OT'�O�����)�7�������L\+e+���'� ��`���#�
Y�;����T
�5U%c{�!�
Z� BL�4!c�z5���X�Kmo�f�����l�h��6�������~�
���XvJ�8&Ns9�
^2���j��CH�q����2Y�C�L�`M��w�T�K��d����
��#0�.7���_j��'W$��C������� ��
$J��)���q����P�����[y�
�����
�k���sgw@�{��g��yI��Rq"�L�-)����0�����B\�%�-]��){�n���m;��2����� s>B����5���b� ��x
v����cNG|�
u�{!$E�h]m����e�����=����^��6��[5H
����
�3D�W35\p�= c=�n��
���
?���
S)�_@o� ���2����A��V$X�-�.
��D�3���k� c����U]�s'��n������p�}�,��J��Dx��_$<e��F��O"�"4�N�l�+���[�2B9���#�.�Tr�=�M`EI�,�2���t���:���q��+
��xp{A.���
����<�����r(�%�i2�� @��q?]��Y���W�t��D������V_���Nf��k�����&B���z�����<�:I2���\�5r8�D
�3��]j,)M?�3xA)V�xy�� <�e��\�Se"�*N�R
S�'Nq��K�>u��.=�<Q�2����������t�,?�/�e-?"��6�[�8
������qXO�R�����?8���
�C������'�� �0C�#
F��Wp���AL}�0b�/au0yOh���.z$�V���}+�
X�Tr�J�_r�[&"%� �y'�?�2���d�o��*�j�m������ ���S�f'����
\��t�^�8x\��W��[^����~��(*/5�I�2��J�hTg!B7,�Gg�k��(�����R���G���
��������=�}r��4���8�
=L|QBE���q�D*} 2YBu���
�
�%�� 3����QN�3�Z�
w
�v����W��C9��&0���*�
_��iw��a)D�
/�a�
�[DK��b����������Ex��0�,�^���z��HUB���{���
-6,��6n����=?����^l��/�
�mg2�-�q�����(�����r�O�}zV���x�#>gv$��8 ��d�$o3����l�c84��]�S�BpT1��1�-�)�S��4�,
��w~�r�����?��i�
�q��������D
9��6MBl�h MR�}%5��;w�,T�k E������>C��:A���}��g������#��
����R9���ZMv<OK�1���YX?4�-����DL��m���^��}>p���L�L���
[tf!��a��3���m$0l1=��|;��Z��P��
�oG��J3MU%m�Z]R�2�!���Jh���1eZ�^N�km���dV�G�~9*km�k#J$$f
���Q�! �ZY��\���a2�M��'��i����*Q������a�
y�$�:;����
�+�=j�
�k�^{5����N&�����A.O�E�i.��
l� r(�4Y
/Oue��Y���|M�����h�����V�v�%5%��elMJ�eQ����<L�$E�D�E����*��1n';u���
��V�O�7���M�"������]�*��2.��P<81(_�xhT���1�2��-%��/��0���
V��Se��u!����%#%�:d������j��@�1G���i�%n��
��d�
�9����L������&fH�S�%y]T����Z�V~-�@-� .I5�B�>e��h$DV)�kf�V�"q���������C�Z[���r.���S��J�
'�$��v&�i�Ho�g���n��Ud����)��,((=��q�������\J�����CgUck����l�)7��x4
f;9M��6�"���
��o�� v6�ef�������!6�
�4w2�%;Y����<b���>8���S�n�����e�
=�5��8{b�{��>J&s����
T��Sw�c���8d
���;EuC�S%�U ��W���&{;Z[����_b��r��
p�zT�*��
j�X
���<�Vb0�P��
�H������J�RY
c
��2
���ZS.���]����M"��S�!�<Ju���������>�e������1��������)��
q1�X�����T��\Zr����~R��2�����?d�%�V1��RBS����G��
�����
��;�L J��!��#�U�����vYyN��/� �i���%6�t��]��]r�J�����.�T{h�z��C��3��b�}m�.CB��j^QCP(EN�
Z�yZX��z�T�+�eu8G������J�V��+
����\���K.
c��A�,T�3v�J��v_�����
U
�|���:\T��(�b]K
�{�J]���O2�������?�X�Z���@<6��l���Fp ��E�����C���`7d3LTF�@VM�^��(R� 3yA�_uY�TBC6I2r�m+3,�������\.f_:�����be�a���y�=z"�~���|���������<��DR��NY��3a��
c�� {�0z�VJ2�?�W �)��z8��� �0��m��z�
���l��?[�
�x�{�>���x������'����I��=� �R�-+�7|��%xc���|V�s�
��j��� [�^
�-5���1����B��6�E``�8H�1l���
e`��q �
��+y�nP��,�u&���"K$���[�3=D�����$�;���o3�m�JI����ZR`��j5�;9�eBm,�"�������w�
*5�x��S��d����jFx�ZR���zQ��|���(5b��n-��3(��y�<F�<�U����62@�k#CR��+@�������$�����Y4��Z�&�����${
Z$Uo4M;��m�X�1�~���d�#�(M*��`!���Q6E�%���k���fEi�|QBL�&�
[c5"�l���q�����r�������Y�6S���!X��.��8[
c�c��+�2��%�)#/��hX���_l�LY��y�w��V��!���m�4��
we����E��b�&
��������I��[l�^*���h��Q���G
/[H��:��J-z�X(pmd��H��JM�0�*�������~x+
�fb����8H�M���ew����[@��@�8LI0v3�+��
"�Rh,���
����h��,s������,V�}V�!
� /�cKK2�F�V-���Z�"��)'����z%U5�mCbN7m�|��2���l\�
���JMVC����~��
C���;K�U�����(U
��k�
,1��z���v4+
�L����m��S��E M�X��%�LFbJ��dc���
�N�
�D�A�])m��)���l�b�8g�������������&����e�o��,5\��L�b
��EY3s���,M��.J�_�J���
`$��������I$����2�X���R�C�ByU{�
�}
9�s� ���\�#}��2���%B��[q8e��I�X����gE 4�s|P���9@r�v���p2^)�]Q��L$$�V�d:
���-�_��4E��_�-��}f�@�h
����b�&�����������G��5[��&2
�XF$���������0e�����f)�_4��T�#P%�f������Y�zlu)�������
� X]�Im2��DZ��j}��M������@dq:+�C��Y8bd9��b�K�4@7
nllU���=2C4fv����mW08d*zOq�"���`���=r���+j������R�@���js� -hJ)�v���Qg)���Jx2i���bn&Czm ��c��F�>;��wRTD�q<����l�f�n$�<��@�O�1(�����,�n����>3
����e>!�`�&��X����@�U�W�(�����S�r�����b��<���� {��%W�7kB�SoUb3�F0�u�D���.�v�&�SR@���H��$�U��2u�N�jpv4���Q��Bo
�K<���R<��+���1G�K�g����x1*7�O�
`���
����\n�D_��
M�����J������������]|�P�V�u}Kf\���St�^�Yp��dnW-7J`o�Z�vS�Mjm��U�6�a��Fc���<�DX�*���,������U��B�
�� �'������`�2g�A��2F������,I(�-S+�_���C���S��5_x3&R�<�fi��Jl�#�����������
���/d��*qV_�_�$q�����htG�� `.+�n�Ibk��m
5�
�8�E`��QC���h�k.���K��h��%���R+�+����aMV�y^�<do��k�y��1h��Ke ���a�dE����'YKS��m0
}o]�`�L���� 3������j
�S�EG�.�_P����-��3��n�&���Y�7X��=oKS=1y���l�y)��r��i`��L-f�h�[���:��i�\��Tv��2�D��"����6V�`�dp�R�Y%��p�w*S0��j�;
t,�r
�}��m@�t ���/�=<�"g��d�
�d�V�A �16���I`��������&�\b��� 4Y�02
�*T��H���B����S�`�����%�{{�
�@JY#��rK��)�����D����:V9��H��jQ��b���R\sqs��L,������3
��[�L�����S�
���_l_��H-�`;������
��.a��:#V�����Nx9�
Y&�x����������wu��m�Ys\�I��,�����ku��7X
���
%�gk�0��35\ �[�H=
�n��eV��!�
o0����3g�r�X�!j=�P�oa;�a��qO�E0M�/��;6�+�,�K�{r"YC���P�]���j��S8������/
w[5�lxxUsiQ��%(��l��dX�R��({� *K������^���
��&�V�Lm��@���\�����u#�����5u���=��yq���O�YOJ��
z�J�q��q�r"��
8e/c
�d
��
��e[�@,��Y�g��"�����-
UNO���e
�rK�L��Fy���lm��l[�Xz�M�e��R
fK��"�Z��Z�V������:����p6D
�d^���m<sYm
{c�{���������������n�af�[�h�T\��
;�g-�!.rp��h��g��G�Q�����]�#�C<��H��<�UY������"��e���;^D�M�l#V>�*�S1K�%�� ��|m�gv���j��SU5�����F>+�����U����o���h���/r��=�nV�Z�P���DQ4a�h�9���\���#�b��n-v�k*YF�w��L�W�|Cg�*���qc�]J]d ��B�
�Q�b��Z�Sx�6e5�����f�'����|�����-[�<c��A �F���R
Vg%�&���N"�cj�Bh d�7���Y�]����$le# UQ�����F23X��� 1Hg�%���N0�#y1�Uyc��A��G�!��j�T '@��]��l�6=���`��%>g��hZ������l)�T= �A�rY��4{Vi����b�@��`6���EhK#��� |/K�Q���X��4��cR���E0�$4RObd@�zJ�
-}/����=c����"��IE,�0����R�-�n[�\��k�~/}�'���&���/��u.9������Ph�@�I�U��M����>� tT�bT�{���:�f�
�e����S:*3�,���� ��b��9����� !t4URWi}���Jc�8��2}_5�,\�Dx�W���*����
4����<�k,�o��kmPWX�
b��$��|���q,�F\X�1����(!g��x�
V
��r����%1H�-��)��g��`��w���
��������1LD4�|+�m�����o���T��� W��
��C��\(m���.�
wk�����j�M����I��.����l�U���)��O��V
���v��
B<<���V���-���%���Q��8��d�R�/t�y�e�
��6��3f`lb)
mIr�?Q
��������
F9*��Z?���
>[��O5
%/�: ef.,���
��[�qC��5��3���+�5��nQ��H�_${"^r$���Z�N\k��d�<��?(���)����C�[o����
~*�����
�M����e:P���Il��# ����0
�(�|�3���T��u�$��
��^�6�x��wVZ�Z�YU��-��,F��9L���`P
�uW��?A�� �P'k�L���5�@VJ�����"�AT���R-�f�
'�dU$�'ve�}
���6:IJ(���fp
��Q��d
�5A�% ���f�\"qS��*�c��gR4�v����H�d������p�W.
MeJ
�,�M8�2��m��)k� ��j�X,R+��(���P& �#�`e���E�JE)�/�R��#���A���I9����$������w�'�&�&��v�Rw�=�P��&e��Ya#��F9�*�|�X;;���������=�F>�xZ��[��S�Z���>�^
54p�
������X�J)�����#�Sd�2D���TV�����?��N�Wc��(�l;��LY�]
��n�l�fZ��%�"$� �B�,Or([�R���
�^��k��Q��\�&�$���uI��g<;���a������"�r�&��� ^�/���*D�|�ygm��Th���N����g�3{,C�*�cP��g��Ep~���
����~&9Df�3����@�*��}������X��(Y��-��{2}��NV�,T��!
�J�"YP,�n�~0�aj�m+#r�H��r��2��v�{[c������i�U���� ��D��-���~@���+����r����=]1a����
��`��8��=�9��d:7������x�z��&�d��x=LGm���,� qB��x&<���Q��e
7�E���#*��A�Z� � d���%[o'y��k�D����Zy*%7:C�$�i�u��m�
ez�=���W
��V-)�-������d1��6(��6x�8�0G)\L��_J)���R(��bm�r*��RsW��u���v��@��Y�e���C0�T|Pm�e'
K���C���R��9#��\�F���1<������D�m9�2s�6����J�#�]����n�
�X������z�����`���h�k��GR�V
���]��%�o0\�2�?G~����*O��N��J�3�F��<K�)�y�`�(8N><��]&&1E|�� ���
cY�
X.� j�$I�o�R7*��9�a���^��,y4�59���HQa/�"�C�&�:�x�E
�$��
���W�������g���ny�������O����e�+,�b:CT��Y2�~�b�1�}�l�
��
�Q2��=9K��@�X1��R�6����5k�-y�.s��3H�^�"����";a����2��
���EV����m�*p��q��P_��%TTN6�Z���w�����V"=�
��9X��a2g!-����b��+��OEMov�b�Rl�(�;L63�A�^`�������FO��~�������;u��9I�b����9 �2B����Py��`c}�4�Y�B:��u<*#
Av�D�D�X��N&d�Z=�����3&���}�l���E�<�Zb����0���@���w6{s?��B�
C�zK�
'�m,a=d0�
����CX��V����
ko�T�d�tgoE�Y>]f����R<f7��.!\d��f�*hl
l����~���������������F������Rc���.��,'�p��'#Z|�����Z�P�Y����lT����
'h�s���l
0�a�{�3Z���N��{��P�q��A�LKI�I ��%!�F�f��l��MXaB���kR�`���X��8�F#��M��{Ke���5�7�D����tyL� ��M���x)�'��&�
�[���V���%�E�%0�����
���]�oB����$�c��~`��+O_-���":�c�
���K\T���)��o�se�[f`C9+_�R��i�:X
�Iv�)�Tw���(0��s4�9�
�P
y�_O ��
��R�����d�fh�r�
��\X�6��
�Lg������6�n��T�`NE���m���f�B0���Cj ��S�����[*����:>�-;&f�v.�d�n��rJ�Tb7������|�g+�H�7�a��p�k�\
B���J�I+�8��lW(%��0)
:��Un@L{�8+�V�@=�2���V
R
%���
��/[c%U�WS���:f
-��q<2Q���g
�f���;fl=�bK��LU�BP|z���3 3$�WP�?6�;H���L �C>�����"
MS[y� \s�f�����@hu�G�{6�e������k;��4��-?��DR�0<�����WrVOE7kMf����+
�pQ����DHleK=
�.�_��E�YZyH�;tF���Uj���}��Q�"�t�
�
Dq���c�����04L�z��(P�����\�t�/mdd� %[����p�����������L�E���M����9��������Q���=�������4c�%]�
��d&�T���9�C8T�T��at1:j���%H,�A6,�w���o�^Yx<2I�����[�@L��S�3?XZ���<�]�
����@���j�
vF�JU�� �����������{����!xv����[��cc�d�5q
5�6^ $@�t[����l��a��$��J�=�R��f[+4Fs��F%;�"_UC&G���7?V���*���w��Z�w���J����Vj����� KI��$���A�T�� ������v�,|��hA��h/MpM�����,��[����[�,E�Yv<1H�o�#wR��d�"�H�I��"��`�;fb1���||�{��
��z��<\!���!�#r{��'q; � $��G[�+{��L!E3��Y[�e?1
�w�:m`�|VR
�I3����L~=x���f��%�,d���$�S�3��Fyf,�P��<K���`P"�� T�K�����pN�Q4�Iv"�a�QG�4� !�r��C��.��m��go��E�J�.q����\���Q(k;Qdcfg��e�W��#*<o�uy�����gk�4�J�
_{-
#q�������G�/�����{�CN� 8�,C�z)����TT�OWR�dn�<��_��f�Ls���d "��V�(�(��f��l+ N��(���7��3Z�X��0�Nz���-�@�v����e���X��R�{����'&Rf�������\��i�&��5�<s�V�|$��
�[�2��-��;�Y3��Z{���_[�m��O�����A9u&t��
ux,�Q�|��W�FMV5�
Xh����-|%f�xQ���-+�l'&��`�
]%�`iQ��[WVWF��F-�K�J�?f��!�
5v��\��eUt���0W� ���e*u>� ���J��x��h�S�����{VR�����#��'XWW���%�|
l���0�b+_!W���A������}TM�@�
���m�S�(��-�
�3 �����CM����A��8E���"���W�m��:2P�i�\=�5��6����0���)��1(����
�R���)�Y_u��� �7c�H��)�X�pO��D�
OR����
�2�d�Z/l")�Yt)O �eQN@i�����fK
g��f���
�=��t�G���J�h�Z*��7�f��������M��K��=g�;
rR��D_�#$I�4��� /�g��#62y�"��������kQt��(M��������2�af�\S9i�
��y���
;en�������P�O�an��e��H��,e>���e��������Q�����4K�@��r�`c ����
t,a��
B{������}�15e�6;�u�r��_�=THr�������F��?=��M����R%��z2��1"���5U�V�M���Y�-I7�Y�
u�r�D����8�����E$r�?�4������,��2��Z��������������;���m�z����������>�]~��h\7
=����R6��
�$�a�����������b���N��=?z��r� >\�����|�z~zq��<}�?>[}r|:������t|z�:�\�>9?�:�\�;�2���=���_|�����}����on
�����}Jn���$]��K >��G����
���������s�q���}�����tut<����i����
���+��O
��a���?y��_H:;=���b/N����E~�������x��wV+���OUW�?������gzr����_�7�_��p|�>��o>����}�_y���+
�5����h:{���?y��G��G���C������/�}�����/��c������OW?���<���S�U�_��
�>{|trq����
�g�}�^���/l>������`��)���#�)��u8:����q~�}�|�z�x�]m���7�������=��O_��
|����������~����^Q����l���w[�������
yqa_� ��{�eyqi��w�N������}����_�:�`��S�<=�vO��_�.��������������O�
&����x����6���|��IFg�������������E�lg�������a=���������w��l����{����{�z�._��O�������y�����??���w�������v����
ln/�����/�}j����\wx~}Vg/_�c����d��c�}`��|zr�r��v$��o�w�m�k� %����w����/��>~�������X�����]�=V����]���^�
��������^��4]�|�'����S�"�?}�^l�q=�yl?�:9�k�d
�Kl��w�����=���}��|���
��{�tz�'����w��{��e�- 9;O_ �^]
3JG��O��?=Y?J
�Q����9:��|p=e���W.6O���3� _��=�=�����^8�m}��j9?}�����s<#����<2�y��J'��ql��C,�o���6��2=:9�<
�G��.
�����������\�;���
���1������b���oMH�7��/��l��/�����3���O�$���t�������z��A�N~�r�ON/���l���WGgg>���������V7���������F^��
�Ix+k{�w�
oY�7���'E����l����v�1I+��f�v��w�q~������.We�~5�_46Tg��{��1+�/�G���o7-���?�r�w�D���� ��^��/�����j��}z"[�`c��J�+`
�J��@��|����u�f�m&�<�����
�GT5q�B`�5����*��r��h�
�8��k$�� d�j�3�e����D\��f~��,
%~+ *��
���)��c�L���<6�U���Mm��T�]�)�X���]��
�K^O���3�TTN��r)2?L�9�����������9��KW���8�N��U9�k����rL3�9[>#K,�T|6Vw%��f���r���]L��d������
'��� ����^.��N+�D�=t��������<�F�����9sw����I)��Kqy����f���m��fca�,3�aC��C�_,�v���K�Vj�����RH������b!���T�����N��m��v�$V���o�p*e�
Y<��^�����t)6����*�I.$y������p,�h�S��S�j�0'Z�jiO�snV�(����Kk�m����WuP�>UCV
�R��"�/���D���,��u�
D���Cl��S�BMwI����,��VB:�� �DP=
s�t���f
���B+�����������n�0�g�Wz�B
��&�p_��� �K�P^��w�����~�?��n����V���)��>�lu�fg��k�0�?C�i�
J�
�9\S�T6v5�*��b+�]������kR�"JQ4����W,E3�}�i�b�[��%Dd2��U�
���}5'Z�����*�u�����X����,�Q��u&�f�d��P�������HR�9�1�u�l%�-K������{��J�m���Ve]���4�����hg������ciF������)���WxVZ�Y�}��5=%�:�w�Cw��a�5��6�O���mU��bI�EFe+MK�eE�TMa��?[��_R(i�0�jN�u�L���c5�j����NMW2z�(V��b�w[�
["<����
�~�Q\���,S�BZ|&3�5r9/ues�����0���@JV��-{�f1++X�uo"�N,W��Yq���[����fT-�c��d1h9�G���J�q���Vw���j?9�6�I�f
���������&v��b�������c���g�m�l;x�zi�P3u*_�=`���Y,k)�v��$��M29��:���d��C7*s����Vq9������XG�6;������1e���R�*
����o��8'u�'��Ju�=��GAB��6�X�S�Z������
e�����,���"X���$��Em2���f������^Z3��U#q�,�����������r���IR6�C7�����uc�i�������� ��n^$�����g���T��)Z@�:a������Y���0�H&�n���8�V����YmX�����.y�����*u�����
���9�I�},���.&uI��0G9��#�(��'� [�hJ��Bqke����wg���b1���R�J�8�l}
�T��v� ��`�]!C��2BU�)/�^��hT@�w�)/�k#��|���b�����L6�2�X�j����Y�,��lo9)����<����~�X���0�$�x�����*a�W��F.��O����|��b��]�
�23
���� �F&�����y���_��cL�������.�LW�w����I���\���Wl���
]�N�A�����e�� ���yuR�(��p]�4���:��j�}'�f���"^��~_-�d����\�
1�T��b!���*v+^�w����Lr����
�j;��P��+���0��4��"��yRi�0�?W�<������R�nI �$���z���h�}��8u�����4��������&�u-��TH1�W�@������g���]~kP�{�]��z2��������f�.�\����;���'*�����7�)�`qo���
,b�����<pE�fR��f���n�5��\����Y���XH�:[�g��l@~������Ek����@��T���LP���+�7t�3)|3t�5�����vq�������f���^��(������Jj�h���U�m�6Z���$�cI���T���;`S��!��`��0}��eb��
���.����
�uP���#�*�n�/���^��S����1�c3��`2�2��a�T��(����\ZV���3;Up�,,�����J����2/I
; �*����)���n�"g��Y
��(
i���s�� (d�iSV�����b�x�X�TU��
�m�j}$
�e���
Pk
+QEl�
�4��l1v��`�����W�������R��ad��3G}Vz"�!����
Y��6����M[��
1�
8 Y����'����n������`J��C��Z�4��uU'9t��f q�������B�^�Z+������/S7x#F)��r;�'f�D��5��Z��Eb�7�8�v���P�$�+�ZV�d�-j#"�n�0�p�$R�o���8�n����JZD�=G��\f�K$��
�X� �1`�,��t�'�
�ZHTb����],8������U6�0�����Z
��B�5�)b ��
����\�f@Nf�`&��%W��`ts�)�Y���p�
�c^�qK(�L����l���l��s'��v�U�{]��=���<ZG9��|b����alj��#�;���
C5?���a��0m
J�U��
-<
���*�+��4�*N�-��a�4A#0yR��sL|�%����UYR��.e�B�U.
��}���4�ZV��
]m>3�m(��`��b�����H|������0��9�0�q�
;�������A����� \9
V�b�rh;2��������@J�~#U�K�9��Wm=�!�uX��Z�,�ne���Kv�&�a�B�y[
5�
���L����
[��U�$�d%��T����Vr
r���X.�����2w�i�`c.:�"���nu�����M��X~[%d��9N���q�g��#�
��Ki������7���G+$�B�6����%^�y{
����[i��j�h
�d�\4f9�~Q���|
[K��
cI�V�����0�b
�2��K\�9�Y��R�Z����t��(��ej��Z�Ce�'v5B�-
n�\���yY����0I��ug�(*�q��R���e�Qac�,�0
�V�����Zv�5�u���HF�]�E�W��;Z�m�fk�X����f�<��V��-����R
��Y�7Q�M�"h���KV�$Pu���mV�S���,e��I���]�b�z�t�%�k�3l��4��4:5F�� ���l��7l6{��
d,���8��3�2�K�9�A� #IB�Q�
($@ ���z�5�n���Y-�h�����E�p�3��R�"��m]���5E]�4����F��p+����&o���3U�����T������&Y�q������3���\���l
g��Y��� �S�n}�K�B�`��|.&��R�\;}:�n��]Ox�e�M�J��M�i�dxw�����~� �#0*y���W�
,�%
�W����c������T���`�S�
5����g����h�Hhg6
/FI�)��F3`��\��T�� �S7�y/4<f�mA�@�XF�S5�j�Uc��,\�
��N(7_��<Y�MB\If��JL&yTB��f��)U���9������VJz��k*�-�������q �R�o���(�%#`�U�����V��9��-���N����s��&*;a����f�
�������F�X3�{?JS�����)I�A�ra����������e��#<��(yP������M�Ym����"�P�O�jPrf���+
Jg���if�{C��&6�m��A�@!$q�aw�Gc�d�f�(/;���q�(=T
�/��U��$��OZ��6V3��a��\��������F�":�_��"����l#�z����&�!x����D#}"
��H\�jk[�z��
{)��������$�hkv��4�
�qd������y|
Q��FA��&�d�
������R����w����ss7T)w9<���;I~� ��
&�����;|YK�b!q� �I
����� "3���z
��T���6�K�'=a�<1������i�io����CW�
�_�bQT�Ze��sg8�
�3Gq;�x�������#���P2�2����J��Z����7.y~�e]g��J?X�*����L��j��>�R�����[���'�`�7VyF �i�MBX*]�Ba�Zc�+7�`y�QS�
�d�(U1�6��)�
����J��v&6��te�����6�l`��s�E���<�
~���*�E�@1��@.�����`6Ie(@
���0�A
�J1����`]"��;X�|�m��b��-@?�`}�;���u�~~��z]�_������N�f���=��,|�vgO�g>����B��Fq��:�(��P��lg�����-$
��z�p�%ZI����K'm�x
�$[���q���\?&wcs��US�g�P�U���
(�}=IUEQ%�/�0K)j��""��b�PT���������-��EI�:YO
<�1Gi{b,����t���7���Yf�|T�j��:����l����I<g�HEO>'�t�#b
��S,:�P��@t&���vD�y����M��4.����|��@�
��= ���Y
�>7NKn��r
��6���K�l/_� ��Q��
9P] �
��+
���q��nhK�E��1;�t0���ZV�i���������/3F��8���<�L���
�R~�����<��������T��7�4�B��,
���I�
����z��U�"h@����l�&V.�6���
�f��p�X�R�a�1�u5�u�ONgmf��L�%x�r2?
b�����������I�Y��10l���,��;I�*���S�f"zW1��x���Fj����7��������;�����si��(;DN
L���**��w���e�Fo���qP0!B���6Y1�����
e�( kSX6�v�$����
��I�L�XG
��(=���]K��o`x"=�L���I�
�u3��J�8m�#���6?#I��`����Y�k�I�jKVV`3��(��M�F������,$&�2����]��6wJh;��S�Y1v�pc-�6����
�Ad�
Y=N=���WD�^�o�Sf��B@�
�����7q�;�;�<(-G���}�[[m AGIY��*O(���dRjI�<X��nX��s�7��)U�����?^
V��L��$q�J����5@*���j�0�I�Ll3�6�45F��_gN��`ufX{������PbB*E3
e��
�J�*�N.��J9��64��l�-aq�L�r������:W�����V1���>�fH�Pp#1����Y.�S`��1Wkn�� 5l{��9k�
���L\Fu';(�[�\,����Y��:1�
����[����R�o8
'B�GO~y��%�"�41S ����WG��N�8y��"'+Lgm���:���:�����`�l�=���F�-Y>��d
������0����{�/�|�l�2Z|y��������dc�j�2=2���)H������se�%���
����v�� )M��M/#m�r�{�D�{�LV>
�w�#9e
�7�����+����b-e�
}���Q�d\
�(�4Br��{LdV�E���0_��ilpg3H�(�$�p�t�{����M�����i��#��oQ�-;�,��*���R����^e��v�Y�l�<B��KM<�a�Z�M�y���M��
��'��:v�
$]�������l�[�dz������Uxl�o�?3��9S1� ���B��������_��A�?�z���a�jGY����V������Z��06#���i�<��D��/#[
0�'�B��'PH��e�Y���T�����1^��V�d�� � �m�p.�j6��l��r^ V�����ZI�
6�{\�YQ��lMF���k5��
$l���^�3�S�Mzv����
�����������3c�bn������
��}��]jE�����7��X@b��p,������HW��E#yG-��0�V1�B�
��i{���7k/U����7��D��;����g��YAN�<c,'��75k4�oJ�r<{�
m���_��]'��50x{y\
��Mp����p�������e�O��VO-I���M�C������������`�Y*v�k��l�b�}m�
k�/Y��xM��s�Y���l��
��d$[�Z�u��}4��Jk���u��P�Q���������c�� Lks.(���e)�l�e���O�e3a'�o8�7�m����5=A�Qz���QX���*�v���,c �J���e+!�`�[
��U����-y ����Nj�����
]��R�SY�
���_<&,de���t�)�b5������ 3U,��N�H@���%V��
Sond��G ��10(E�,!���,�R=���
�P^^J`?FA�K��1s���F�<�
�;�|&�e�����eK#XB�~�vmS ��y�q6��T<$�-e�A���RM�|�f�HR��[�XS����$�
���,��Kx�7��������r�<���
��fJSv6�z������Y��\�<m�NIaBq)wJ%�rZ��T� #��"Nh\duc7H-
����������Vae*ahC5��
��O���b'[�1�L��,��
g6�%J�� _�d���\[�Ajd��{���������qi��%��
�)�c�
���U8L�zi�&�����(<CT�m��2���;���j�8( h`i�S*��wU:������+BdSdE�����j,����-��� �Xo�r��Gr��Q} ���f���hRsl�`O�s����(JfM�<��
����n;��&m����
�
=���<��
�� �V �M����YnZ��b�)0�D�"Y?��x�m=��^�O��R
N��d���,����
f�u���=�N��,�����������I� �L�JR�*�EK��3�"
�#�R�`��Z����X��K������g���v�g���0)j��<d�qi}d��
�5����h����
���PVx��>@���f�
�����Z��y�;���M8�=1%��r����������h�zQ}���)P���0�x���"WP
:� ���GU��\�a�g@�����1�����L�jY�����ma���xp
�h-O#�l�PS
�����o�R�
i5���
�������*5����1b�l�CjS(�
������Fi!���L_�yB^T�$�`�c��
1�N��a����Yg��8a��b�g����Q���E�ek�`�"N��X�'���&2���������U.H��16S9
���l�I~1��* ��4�o�������I)}�C;��1��'��8�SS�[~�fH��]f���:dJ��QT�����e�����c\+Eh)U����_
��D�%l�`�e������Jmp��a2�s�_����V>
y���!���R�FAvm����4H��e���v5)��1�fKi;{\�:�8
#[��
�p�,;F���� x
� s>)������m����R��g eQ���A�������q2�4���,j|H#�3�����I��������4=��
�=�-W�EnVF���@\�Y�U�J��^�T�b�0�fKs�
� @i*��9k/!�Lf/s}:P+
\��8*
1��e���P:����^
iac����)�&�t*3����i��I6��
����.gX�`�O���:SHWu�+B,='�����z6'o�\��<7�j�v��,V��H��
@P����X��h
w�d����L�<k�Y���������F(:V�]HX��5.���-�~i�?����
T(�dLZZC����xj
���-�A�[B?�C��\G���*��
w�(�W
2�*:*m���M��4V�s[*���s�>��
c�e��u ���G�4��������������R����`���������r�Wd�;�Z�������g
�9���>,}�Tv�4�X3��O��h��cL[
{�Q�k�kU�� �#��
;�.ih���
<�I
����y
���$s�����)� U��"���,���l�CnuS;����a�+H�(\����)���Q�V��]�$Q��0�����l���Mkz���j=�(���"cE�r�DjV/`Ri��Xjp����a+Z��$[A�������r�H8�� �D��s"��:���Z�����(��m�w2�)���� ��T�����k�1��4S\�����{$��Zk �o�0r�%0
5�
�^x���`��m>�[UZ�I]���O�-T*�^��u+�Ue�t�e���,��g�*��2u-@������
�d��b�F��Y\��m=,_��b�O�#Y�nFu`�.������e��[]%A��}�A/k����YJ1+����n��6���S���� ��JF��������1LD�T���2�-BS���d
�!v�d����",���F
R�+�A�R��=?����e������0 ���$��3���%��i���
�1~Uo�r�Z�Wl;����KF{cYs�Rx,]T+�N��D�r��v����'|c����]�m�>h��%��C��;��fvx���O���� |�c��rn�bl��������Y�����&������j�g�������ZT� �du.�`[O�I�
����A�1�!��!��]�!����!��|�J&�ZJ�����
Pu�G��
8pb���y5�z2�`C5&BQ
U�
Km��Q���G�2����q��-aB�U�Q�:�����o��#1)�c6dm���Lj��S�w�r\f���-H)�G ?
eiU0
����I�<H,������4�^e�-?�%��s�N0Q��
NaT�v��KK����w�m�>�c�iu�p��5
7
A�b��kf�-V����LY��m,�(�Z.4>>$��~�����F�4
���0����������T��k�[^E9��i��+�Hg�R��!(����1}��"v�`�T�+��'$��Q�:>mxV
�����?U�(�xH���#�{��n:�}?4����Y<��8+���L��+&^+��D�,\
x�.SPb�<�
C������j�q�
p��x�V���v��f�F��L
�al�����j�b��d��
�t�@FO?��_�K@�vL
G�gU��L�pp��N��/�����Y�ps�0��z1�#���P���q�
b�Y��BE����s��Pk���I�m���#B�a1GQdYI�%�l�����i�VL���T��fv�G�uRQO3W�����hi��3��4]\� �h3T]V�5��i���)L&��@)�<��1,�X
�#|JvA
���)�f�:\������Z��&���`�=q�T�75S�����@
�ds����N�����
��;�h�*���k��\��
�0ZA����q^,��y��
OP�p4���P-q��(T����� V�/�l���;�K"��]��cg�n2��E��Xl3�=��
\)5I'Kq��*GUe T���������W�
��
l�}n��
R����=d��mc?S���y��7�4��r/j�������{�m7��,2���I�iB�Y~�N�o�}75M�%\'�f�e�m�zV�}imy��f�����$0�[�
�X�Q���8��\�
��$���FF[5�0��S����4e��,�C��i!��Vocb���d��=+R������Q
}�l}h<���'YJD/}���d���P1�
7�Op�����
�Um+���,]
1��
��.������ ���y����L%F���W{'
�2�bP�OE� ����V7����
���[�l�&�$���='NY��ewM��-�ZJ���ATmI���b)���\
�c���N�[}�Q���+�
��~p�\�����
�b������%(����O
�:��qO�U��+�t[v�)��2�laR=(�E�PeIp�^eVf[p
���1�
�
��`%��
[���!W��q
-K�j���4Z=��������/�2r�q�c�J��8�a
-'�0OY��+�(�~��s��
0
��%��nf�i-�zV������Z��n����EN�������>���'��N���hw�
��J��R��>x�NV:�-����P�1
^���`�T�����=��'{D'2
����_��B^��0�Qk6]!�F���Qg�j�Y
������ �������6.�K7�7K��C?Y0�0`��"��
�v�ZV/s��E��@����,Y���a����\�W�s�T�����)�L����%h���I����k�����U�*�����(�B��*)�M,���8��H�kwU�'���r�`J�l[��-����m�N�#�0&|:;�/]~7���6��Lc3
�)F����#R���O�U"��X<�e��us���A���� �QS�������sTdw]v�e��U������.t��SvF%�q5�Ju�������,�U��6��
��2Y4Xt��wZ�&LAa\>i��d�U1Tr��[�q�I=�\����M��U�Q�h��r�\�����}PSN�����iR����#�/
��z�S?.s�V0-d
�Y^ �<�s* ����2}D�R07yJ3�?<�Y���Q��&�f�BS*�j[W��9DGj/��;��`����4El������
s_
���U��b���
�������]��D��c���=�[�m2�=�
���-���&R[�����v� O/w;P�T���fH��Z�������[c��^���S�A����8�i
M@)p��� �Jp��*�d�Jz,P������
nx�bU4�K�F�����0�n_��%}g�c���
�8k�:B���y�+e�g����vJ���D �s�m��Qu
E����lN�Sa�]�5u��~T$���O��(�n�]q��������y��i���~�� X
5��I���H����������)�5f���d2��R���7�W��U��@�i�Li4~��f4��r���|2�_N�2O����{E�����X��p���A��Sn�����D<�-6&�n�Z��; *�O�U��H�S2�������f�C�A�A6�/���X�/FIK�����!Rk�* d=,�&�]"�:UX�,H��%�k�����^��
���H�Dh���b�;.�2�\H`�ND����Q�bV>�#Na�I
�f�z�% %d�;��D�&*
2�
M3����d�F
Du
���U��W�c�^
.��(�x0�E%}= �H����*7�-�;`��r,��{l�d#(��4�����W����)�;�,�s9����`i���J
k|,g�e��AZ��"�EPfJ �[�e���,f�^�H��d&,����d=�JC�����+#���o&2z%�������t�?mx�
� �
�Y���wk8,�AxFW,2��Y'O5b���-�l
��g����������EZ*<�n%o����E��Z� �G �N�[���=VzR"V�������3
�a�J
�(q�0����n������h����,�Z
eG����$�JEk�4
�`�����p$��l�,�[�����c6^=f����f����o����60���00�H��z!|ZJ���$����N(�+�qe:^���������i
.����$na�sB.$0��r��vZw���c)x^�4_LK1+��F�r����J�%I����n���g�0���`�`��k4,hn���"0�nfc
���V���xB4e�K���O`T�
��'2�U�i1i!��<��g������Z�iB�If�V��1WP5j5F���IS����%�i
��F��)z�����N�R�Y���xg�&cfo�
k�2k���*-����v�G�n�����_S�n,Z\[y
�mMK��;B�L�� ����F�,.�k��#�w0o��������1��,�2Jn����s��NF������$0���;��&5w�rO���5��J����B��=�MF�����rE1��H5f����C��
��
�����)�
�..Y>�|H�������zaE>��Z)P+OMa3O�g���@�
�1]���xz��LU�S��
�W�
���c
�u ��
X��
l�Q"R�k0
�lg�����_=Z�P81m�d���;�A�E�:�]90�5��SP����<���3Q���G������:����diwT�[&e/�������0ql�V2Vu
��.
�����q��v�4/�%�� ��fmr��P��,���Z�<�&x���Hl D��H9CW�Y{1Y�<��� W�H�P��9�����4��#�S��;�}�m<\����6y��|@��,�����]�]}w)E���, ��$f+{�
��)��IpA�[+�Zw~
��joc����K�����)���s -��Q��U�m�~���C����n�
�lGOW�g�SPO�|�gm��� ��f �
d���QM�N�^��u�KD�l7LkU�Z/���U����'���O�6���
{R�����K�7>;�����09�����u)�U�9S��n��d���WE�P�L���*bV��TK
���
s�U�qf0���1�
&�
5�����yr�8�Q�.�U*����F%�n�31�q��/��q�;b1��m5
�����Cp{pS7������Y�4��*Bz`��FR/��A
IO� �
%!�<X��M�f��gn����o��h���
$�vi�l9&��Z����}����� �
P�U�\5�t����<��n�Z�����}k�����s6o�����)��p4�������g�yG���B
"U=lG�z��E���h��L
\7 *�����E9pLe��n\b�<�
K'lQo���� !2����B���S�������rE��R�v�c�����Rsu�'���*�p����� <c����6Y�A�]�`���ZX�r�NQ>�]Q��/�� =�g�~
Q/m�
�z��*6�����j�h ����Ky�&���g�#.���##�)���j�L���sF��e�.<n�5�����s�����h��#�����l�6�~�^��~WLn��$��Ni�c����z�6�/��Q\a�*r.����S>Y�7��
���e����5���!����\��X&�n�*z4(�~��g��N�����~�%\��QD\]@���y�)������2����G1v�Sx�&n�Df�x~�:�i
u��W���l������<w����P5����Y����F�?F��<q������]��.u��#Ku�D���>���#����:�%�#?���`��_@�Pu��?��A�f��-�e�e�D�Q��:�,
��e\��1��\���=��y6@G�2�PmY�L�����,L
3�m�3�����k���r�vR��L�T{����Z�@5����9��>o�k�|�6��9���oW+����_���)n9d�P���e��-n�d�E��
Z� �+<��VKZ���P�S��U���
�~��q��j�31)fe����������;�:�q��{�W�pX
�U��
7��2GjF��DP��`�(��rP�����
z�l�?�Ik�|�
�Y/���(�������O</��?-?��[l����
��TjKq�X���o1e��t���y��p�j�2)�uh^��j� �N���+x�lx^� /�L5�v�
@>�70�@�V�P���{VL���
5�,��<q&������`kr�/35�z��������d�+>� ��$@�,�T�2aC
�����~��lE��|g�Z�
H�a���@ZH9g��d��X�,U������ ����w*���@<Z��y�Y���f��
�%���>�'�D�F���a��%�TP�g�H��]��1!���������Y��RE�J���R�s ��9H1$8��)����������J��kSP��`�p��-7���J��� m�{F�����{,U6��'~���
��f��U��n���
�+<d� w�O�~Cg�
{������nFv2�weD�3
���Q�NkB���i
?z+1D�%h�+
��U�,��p���$���`&
Bf%��o���1"zK���(�
��h���-/Y���4O�]��A��%{��W��&����
|Y�M(@�3�m�]����$�0@ri`h��wg-�0�w�+��A�Y�+����b�Z����xc��+��a�A��D.�,1kaiFt�`���S_����,S�
��tYCz�R�|'c9I\���QB�S�V�*�2T�I��p���1�K���0�:�\m����]A�W
,Li-��S�������R.
�r�+_�\%L��J�����Z���L��������Z�
&�md[����d�� �'n�M�4���� ��0���*�����+����Y>����\<`�]{ ����'��L��+���Y��?�����F����pT����e
��f�YC�.�Y*����)�
�,���c��c5�
���I,MKn)��sL��j'm�O�����|Zc�V�6�����U�a������������ZJK�-AR�9�NXt~k1q��F~����8�T��*!�����X�^�m�������*�
L���f+���m?rx$3j�s�ixq�SY &�`L��X;Oa�n1_�� WE<P�U�Fhf�[�����I 3����m�B�����
������3(#��pl���y�R0����@�T���h3��<8�
��k�Rc�K����+�B��>�����a��J���ca��<f
4���@d����X�����6� p���B%�l/�)q"
��V"��dh
v�R�
�o{����@%�_��
�d�x����x��� s�v�7Y$s!d
J��q�=���e�|�m�nRF��T$%�A���['�����)W�������q��[�O�x�2q��xi$��r���0� ��J�5�4�y�V���f��]A�������W��X�������
M�\o���
S��c�*��Rr�����L����E3�dW����r�B
*i�0���Ik*���!�\
W�������i1W��%�N
���
l��@HT��������Md
�������a �d�
�$�t��;� ����D�v�4x@
m� �=��#:h���+�Z���/
�;���F�:C�IA�-[��H�����Hj�
��$PIi�J{�3j��,oV>
�$O���h#W��p���v2�����+��J�+ @f�]�|�!>s�Um ���F#
���9�y�#I�:�z=�h��q��i tS3
,|aWI�!����N<���5Y���";nO�|
]�W� ��7���8
����
�J�46a��$Xg�����2����:�
�n���|}���
�&��}�7�;kQ� ���|�g�w��W�<]��p��LE�!���&&�B
�0�l�dCv�z.�qH"��;)�G�5�U�8��
jU*�7�� �D��Lr��07��)z"?d�$
�T��$us���
��^
���=!�80��U?�� K�$��K*+�B��KJ��$7S;���L)�:kh��O�
��<PS[X6�����u����S�(��<�2��7�"tw
���J��Y&��n�`a
�pY{x�rN�{���`](�2(�Q��zc�J��>���i���i��� �
�A�L�d_��qH�{�
��piU�w��\,��,M��`������Tf6�x������5���lL
�����,o����KE�3�V �fmb�8$����
L,c� ��2�����dr�s��I��ByLC��� ����u~��O
&
(�C����`�Y�8JDb�������*����u�2�3����h���N��m)����:,\�Vs�x[.�����*
/h�Y!�=�1�cv���aM��i*<
��V����66��%������UZ���P!f5��`�L�p,�
�|��E5Y3��s=�#Ff��u�D:L$��H6��m�\�,X�����e� 0��%�$+���07����v ��b������Y���X�
��x�I�i����3���I,.b^+�g��'��
(�K�
J[���:[3�\9��Z/�J����Q��3�/@]634�n�p���1;b05�PX6�����\����i�{��9'�2�IY�u;�6Y����(���i��`[Y��vv;/i�M
��T�,�����|��O�N
�nU����)3j��y��CX�1�����
�p#gF@�Q��1Z��.Ri�1���v�
���,U%�����o����x��Q�/���Q�C���MV����I 0��S�3+f��`�E|�����O�������}�8����.�MJ
a���u��u�-l�5���I9�����VM
��X��~ ����K
ge���@l���g��'UT�Q�
��D����
L��!*�oU�c;5�C`�D�tr/�Vm�D�fy~L�h�bGWK0 �O7���:�3V�,&�>[����
X��C B�
E�X��������w��_��dk�G��5�5C*q��\D���9�&�9��J
��K"���\:��;����� f��Hjr�����1$B����bt�+1
����X��=
Uw����)JS����d��T
����km����*O�js��d����� r[���F�"�$���IU\�6#ib�`������W6������i�*�C����XxE�c
~������������Z
� ��8�r`F��e#�&�����
���hZY��q���-
�����,w�h�,/�$�d�y��:�B�U�(�t4%��\�+ow�5D��}%�P��`vk����J1�"#��)��Z$o�NM��x�V�J��E��Nu7 e,�����v�-n�0�# yk�;��nP�A�v�S��z����8�{���-����`S�t�F%��5��#��`'�����pa`���%�l���U�G�+[�4�*
i
������y�=�*��������
���
GZ�l��3E+�]��eVl�Q!
n6�6��q�r�$O���R��*U��J�����]_(�a��bj��&�QTmh6�t�y���
��/��9��l��U�C5y��?����Z�3���\&FNbXB��\+����X���L}_���
��j��Y��Yb�/l�"M���L�RT�k����R�|g�%�h�a����i�s%�[�3��iC
�;��cV0MR�b���^�Q���o��4�������2i)��Y��p)�~��7Y�/'X*��]��j".�����
w�@��E&%"zL��T5J�6.�!tb��BB*59Ry����ctO����_:[
����H�1���)p�M2\9I�UN%�ll�C���?V&w��B%� s��9�8���J����#�J�,H}2�5{�X{
U�ip��-��a=Js��~��0��0N��2�![�5����
���E��������4,b��O6r����Zw���VT
=���s��K��lJ�7
bO2�_
�!���E�AE�(�����k�['*6��')�zE�r~��iG�>�,�-O�I��&��������yh+6�I�V!x9Z�9J��\��v������
�R�5��TQ:���;0� �
���
�z<4�2f��#D�r�����\/@#���������������Ja%����8?��k��T�E��2Q���e���n�an
u�-��\ck�+�Y�kB
�1�����X��`J'�#��G��f���o����)�;�6���r�Fu���Y�L(Ao#��s�F��1n�I�<vZi��^�k�tQ)�d��1P
{��u]����Hz��
�v��V{N�
�S�Z�%U��t2T�&J�Ef:n�[�b�\�9Y/6d�l�����v���
F�[Yr�:4����n��*��u�R�A����
�@�X�v������]�T+O��,%�(�;ei�]�M��A0iEZ�<���=�=ZL$�:����R�L�5��&�
;YSk��D
1Y����{�pH�l����
=�J��-� ���r�����EV^e����LGz)[�_-�|lj��4X�� wN�I��0tr���S�ie�0�v������.���T`��V�`���)����Y����[��%���c F4l�q��^�4`YP�
3��M
qf*T[�,����Y
�mN��+�p�����U~�]����f��6�p� ����������m�V:���'�^]d�+��D�Bl�j���K�\t��(���~�����B��z����"9�>��* :�K��@u���<��bN��Y8�H�\��
�_=�:�X]�J��������V���^�K
��N����b5�~sr|
��W�����7�yuyyv�����}rrtq�����O��O��������p��(>�/O��._�~�u8>�s��c>��������c��������4~�8
��J��
����}q���r������)��o77������(
����|� }��GO_��(<}����n���������>���|�^���:D�����P=�����o���21����^mj�~�*V18%����:O�O�������|u�. �.�Nb���������������ZL�����+���9:>^��+�z����zf���97y���<�\-
_�n.9�����f�Wx�����#�<]]�NO�:�w3�paiz��5��W���������(��-7v������ �x��{.�������{��\�:�X?���c�M`���K�c6^
�8����.�����(^�l��o�� �r���+���i�o������g~��{��g����Z
���,�\\
�y��yu��tq���������sv
N��\�>��������}/
_���
�> �����NNw��O���j�::�����^���b�? ��}����,�{?�o�
�u=� �
�K����6�Q�
�o���Q���h���S|��;�o=�s�����:��g���X�_������
�ns3`�?qt�b��������h��������og�
>�7����+��������|�*���;>b=~����
���|�_����N_�=��Z?�;�h�Y��>�b<���
�yz���+�����?��������p����y{�R^*�O?������g!�����������]��?]�l���>]�i�t'��������k���z��A��
���������v�����
����p�r3b��'`{^e����������.^=�}�������|��� ����^������s�>|���|��;������^���������_y�[_��~������o���G7.���=������n�q�����.����z�q��;c�3�|z��+`�r=�� y'/�7� P�m��������=�����������-����u7��E�������������C�������N�����
���D�M���_���U.M�{#���s����������{o�_��u���;��|oss{������#�~��t�/|��+u����W�����f(��t~g5?9�j}����GkL��z�^[�[f���� �_���������/
����7l���~R����Z���n6�q����
/�����v�n\����<���3�h����������W�|wd����nT�B��x
o
���������"�����Q8~��?61)�;��]�/�#���9
��n_m
_�)c�M$��~`�W����r�9=�*}?\���^���#/�N�� ��������>t>:Y�@)��6]�?�����������O�;����{���/D��,R��0V7_������W������_y~�g�����w~���_z~�������M(���F&� ��c�}�;����w<�����]�e��y���#
{6om���_H��L���^�g��v�9j�`u�����sum���/>��o>���w�Z�������P�/��"
�
���� ����?.~��o~�e������%�j�Y��{P����>��W_>��/W�=��'_����N�������}�����c�<{wx�B��Z���������2���n��So
��\�T�m�����=�?lq����o#���,�'�~?�{~zq��<]���wK�~/����l
'�==��?�����{[����������7�����-�m��8}�z���G��EN~��/x������;w��������s������� 7�[��{�b����'����J��_�1�N�
��
�>��E�H9��7�<�����>`._��^������������{a� {�<8��w'���1z|=F�_'�x�M�Z�m� m>�����������s���z���|�y���0{�VL�������O_�Q��������y���{�}'���3�K���4]�\���S�w�K�pM|�w���z�����V ?���|��
���\ ������
������� �����{�����*���nW�|O3|o^�l����
' �u~��^<�}����O�
����3���]n~���]����K���_ ��6��1�z�^���->z��� �B\�]R[~���N����o�����/&l�+���/��p{��V�7OB�
^�G�o<^X����>~p�lcm����/�}��������?��x����������~������<=��^
����fg�>��EwF��5\}�AZ���������� ����%�~�.��/�������j!��U�
O
O.�l�>����=�*��
�r�z�G����� ���Sol����?_%n�u8��<��l~�K���_�3"����8��?��~~s?��������������8t�����#�
����`�=�o"/����(���E�fo��t�rvkB�����q���V�������?8�
�5���C���O���������f�t].����+M�4NC�������O����]�k<��� ��w�[����n��/����������o�
9qg��
"y��8�r��u=�]�9S�;��N��=?z��r� >\���=���|�Ej_���V�
�N�x�q�:
��9UD�Wg�s��������������p�m��G����Q����{�� u���MB@������&.����r��g����_�����}���6�/���������~g�-_����V�7����{[��bIO^�����^
�< �O^���������^�2�<������p�_��M]���S\Y��;o�3���c�����M����8��;���������"��D��*��~j.��������>=����ezp��[���/������
X�f���Z?
Nd:��>��� N�=|��]�g7��o�}?r��vn��_?���_����}�{�u�����q�E�����H_�����'���57� k���|}����.���
�[��;n��L����/��'��o������2���������^��E���v}�;��o��e
R���98��\\��z��;5��.��3|�~���?�s��M��o ���
����o���/�!I>
I��x�2��|�Gno��������{����������x���1%��s�^����;�������1]\,W��K��y���#����B���5
���%xc2v/ ��g"`^���}�~�NL�\�����Nu?�,
c�.��:W������ S
�� ���X�������������]|w�w�w�$*�^�]'����8�u
�����qx��
�~��g��#�'����N+��%�������������,�
��,�������h?���Z��q���z���]
�����K��k���_���p]m��f�
�@��c�|����G���6K��.�;��/?����\o�X����{�"_n.�x�,���g��"�tqL7/wm}_�k/��<����}a
F
��o7��p�v�l���7���J��?|���_�����?�N�Y ���.r`q�r���c��s��'k����~��'�^�~����?����!����k�����z���q�������K�-���W������Z�����������;/������
��������EW'B�4oA����}���_��[_�^���
}}���\B��k�}��/o9O.����VE���Xl8#��{�������wF|��������/����gr%G����[���'/>���{��
L�
������\���.��0^�
�
(5� ��H��b������������[7�_7
��+Wm<Z���~���G�����7~�h�
����j��k���/����g��������O^�rc����/w_���7~�����/�o���zE��! ��0/r�:��"����H�/�^�v�q��)�b�~��k�c��� ~����y��j
�79��_����a��g��U�;��E�W|}��t���[�{� �������w���n"���]}��>��O}�Oo
���w
q�?4������{��o�}���������OW��O������9��]
��}[�� �G�>X�yo�;� ����g���/�����YZ��x�x
>\�����sst�>�{�i������)�w�0Fj�:{�e���9�D����������w^�|����������������F�^��C���^�����o����
��G�����_��U��O�i �����
�������P���oW0���������S��
Fzr =���7�����6c�u<�[��b����&v"�mF6���6x/���s6��1�9��.V�G�2���
���6�-���o����u46����
�������n�}F�b�����A��}���'g�|�"�k)V�}�_��m.��������������g�o��oN�b����H���4?��Y�?�L��]>�;���]k��
��P���(�uz������)�._\nm���0��a�P�Z�k@{�-�
"�{���{�]�u8�6_^����=z�|��j�:�pS9Hx����z��
��Z_�����z�7���0�?�,���) ��������k���E!��������9��o
���w ����7}G_�7�N�
�}�An�y�yn~os��#�[Ow�rw�w�Yo\��#��������
����Z�����c��V?����O�OnL]�p~|�����U2���8��K:?�#�]_%W:\���\���������������+�����>�I������O
<�Om��s�oa�#����GG�h��9�K�oN �Z�������k��ONO
{
�O�����V��`'�_��)�$��������Rw��p~���w��k�~�f`������ez�O�������O�r�6w
�}��|��?tW�����a����wm�����a����*w�
����+����;�y�C���5 �������m�������vH�w��z������$������W��2����O��d���4D�'�;��9���l����}��^��o.��g7�y
��Z{_���w�����|��j�:{�4���}�l~���� t]o�M6��c��0��������b����SB��M������o:��x���A%�?`+��_�������W����w����7������_�j__$��s�|���ex�K�7���z��"����
����^�8#N���u��7�����g����1�n}�\��#�o���{s�;���&w�e�����>�l�G70&Cz~�g.�����
����i��s�x���B�������Q���c6I��
����O�{��7��mh��8��
�c��7�wl'
�����n��6�Z~����z��`6�;.�����^_r�h�[]�s�����������]��m,��ww���{������I��w9���9�����v��_]��f%83��
<�
���7>���G��r��7���7^�6}�Fr?�y`��9����o
y�����w�Y����7�{�6��<��h��47=������p��������������������Y��mO�� ��;b{��V�.��]T��s����[R{7����=�������o{Ht����On|���4.���������f=]�7^7p�;?p��k�l�� ��
��Pq����I����
c
Dr���v���G�
��Rz���7\��I��B���u��W��=*.���u���y���%�[��v�1\���
v
�^���_�����N�M�����%;'tk�>?PS4�����G��
���������1��-���m���w�U��v>q�a�lJ�.�r���X3i�K�^�?��3�������=����U�dq���
�8���=
{�w��p�7���������?No���� ���� ��L��\�_����G��J���
g������S~(@�+C����J�t�rp������ ����w�
�/��@e/y��Q����r�Sh���z
���=��=����x~����+y�%8T���w ?^�[=��'������B��Tz�On Sat, Jan 30, 2021 at 08:23:11AM -0500, Tom Kincaid wrote:
I propose that we meet to discuss what approach we want to use to move TDE
forward.� We then start a new thread with a proposal on the approach
and�finalize it via community consensus. I will invite Bruce, Stephen and
Masahiko to this meeting. If anybody else would like to participate in this
discussion and subsequently in the effort to get TDE in PG1x, please let me
know. Assuming Bruce, Stephen and Masahiko are down for this, I (or a volunteer
from this meeting) will post the proposal for how we move this patch forward in
another thread. Hopefully, we can get consensus on that and subsequently
restart the execution of delivering this feature.
We got complaints that decisions were not publicly discussed, or were
too long, so I am not sure this helps.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Fri, Jan 29, 2021 at 05:40:37PM -0500, Stephen Frost wrote:
I hope it's pretty clear that I'm also very much in support of both this
effort with the KMS and of TDE in general- TDE is specifically,Yes, thanks. I know we have privately talked about this recently, but
it is nice to have it in public like this.
Certainly happy to lend my support and to spend some time working on
this to move it forward.
repeatedly, called out as a capability whose lack is blocking PG from
being able to be used for certain use-cases that it would otherwise be
well suited for, and that's really unfortunate.So, below, I am going to copy two doc paragraphs from the patch:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also protects against
decrypted data access after media theft.
That's one valid use-case and it particularly makes sense to consider,
now that we support group read-access to the data cluster. The last
line seems a bit unclear- I would update it to say:
Cluster file encryption also provides data-at-rest security, protecting
users from data loss should the physical media on which the cluster is
stored be stolen, improperly deprovisioned (not wiped or destroyed), or
otherwise ends up in the hands of an attacker.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.
This isn't very clear as to exactly what the concern is or how an
attacker would be able to thwart the system if they had write access to
it. An attacker with write access could possibly attempt to replace the
existing keys, but with the key wrapping that we're using, that should
result in just a decryption failure (unless, of course, the attacker has
the actual KEK that was used, but that's not terribly interesting to
worry about since then they could just go access the files directly).
Until and unless we solve the issue around storing the GCM tags for each
page, we will have the risk that an attacker could modify a page in a
manner that we wouldn't detect. This is the biggest concern that I have
currently with the existing TDE patch sets.
There's two options that I see around how to address that issue- either
we arrange to create space in the page for the tag, such as by making
the 'special' space on a page a bit bigger and making sure that
everything understands that, or we'll need to add another fork in which
we store the tags (and possibly other TDE/encryption related
information). If we go with a fork then it should be possible to do WAL
streaming from an unencrypted cluster to an encrypted one, which would
be pretty neat, but it means another fork and another page that has to
be read/written every time we modify a page. Getting some input into
the trade-offs here would be really helpful. I don't think it's really
reasonable to go out with TDE without having figured out the integrity
side. Certainly, when I review things like NIST 800-53, it's very clear
that the requirement is for both confidentiality *and* integrity.
This also does not protect from users who have read access to system
memory. This also does not detect or protect against users with write
access from removing or modifying database files.
The last seems a bit obvious, but the first sentence quoted above is
important to make clear. I might even say:
All of the pages in memory and all of the keys which are used for the
encryption and decryption are stored in the clear in memory and
therefore an attacker who is able to read the memory allocated by
PostgreSQL would be able to decrypt the enitre cluster.
Given what I said above, is the value of this feature for compliance, or
for actual additional security? If it just compliance, are we willing
to add all of this code just for that, even if it has limited security
value? We should answer this question now, and if we don't want it,
let's document that so users know and can consider alternatives.
The feature is for both compliance and additional security. While there
are other ways to achieve data-at-rest encryption, they are not always
available, for a variety of reasons.
FYI, I don't think we can detect or protect against writers modifying
the data files --- even if we could do it on a block level, they could
remove trailing pages (might cause index lookup failures) or copy
pages from other tables at the same offset. Therefore, I think we can
only offer viewing security, not modification detection/prevention.
Protecting against file modification isn't about finding some way to
make it so that an attacker isn't able to modify the files, it's about
detecting the case where an unauthorized modification has happened.
Clearly if an attacker has gained write access to the system then we
can't protect against the attacker using the access they've gained, but
we can in most cases detect it and that's what we should be doing. It
would be really unfortunate to end up with a solution here that only
provides confidentiality and doesn't address integrity at all, and I
don't really think it's *that* hard to do both. That said, if we must
work at this in pieces and we can get agreement to handle
confidentiality initially and then add integrity later, that might be
reasonable.
I appreciate the recent discussion and reviews of the KMS in particular,
and of the patches which have been sent enabling TDE based on the KMS
patches. Having them be relatively independent seems to be an ongoingI was thinking some more and I have received productive feedback from at
least eight people on the key management patch, which is very good.
Agreed.
concern and perhaps we should figure out a way to more clearly put them
together. That is- the KMS patches have been posted on one thread, and
TDE PoC patches which use the KMS patches have been on another thread,
leading some to not realize that there's already been TDE PoC work done
based on the KMS patches. Seems like it might make sense to get one
patch set which goes all the way from the KMS and includes the TDE PoC,
even if they don't all go in at once.Uh, it is worse than that. Some people saw comments about the TDE PoC
patch (e.g., buffer pins) and thought they were related to the KMS
patch, so they thought the KMS patch wasn't ready. Now, I am not saying
the KMS patch is ready, but comments on the TDE PoC patch are unrelated
to the KMS patch being ready.
I do agree with that and that it can lend to some confusion. I'm not
sure what the right solution there is except to continue to try and work
with those who are interested and to clarify the separation.
I think the TDE PoC was a big positive because it showed the KMS patch
being used for the actual use-case we are planning, so it was truly a
proof-of-concept.
Agreed.
I'm happy to go look over the KMS patches again if that'd be helpful and
to comment on the TDE PoC. I can also spend some time trying to improveI think we eventually need a full review of the TDE PoC, combined with
the Cybertec patch, and the wiki, to get them all aligned. However, as
I said already, let's get the KMS patch approved, even if we don't apply
it now, so we know we are on an approved foundation.
While the Cybertec patch is interesting, I'd really like to see
something that's a bit less invasive when it comes to how temporary
files are handled. In particular, I think it'd be possible to have an
API that's very similar to the existing one for serial reading and
writing of files which wouldn't require nearly as many changes to things
like reorderbuffer.c. I also believe there's some things we could do to
avoid having to modify quite as many places when it comes to LSN
assignment, so the base patch isn't as big.
on each, as I've already done. A few of the larger concerns that I have
revolve around how to store integrity information (I've tried to find a
way to make room for such information in our existing page layout and,
perhaps unsuprisingly, it's far from trivial to do so in a way that will
avoid breaking the existing page layout, or where the same set of
binaries could work on both unencrypted pages and encrypted pages with
integrity validation information, and that's a problem that we reallyAs stated above, I think we only need a byte or two for the hint bit
counter (used in the IV), as I don't think the GCM verification bytes
will add any additional security, and I bet we can find a byte or two.
We do need a separate discussion on this, either here or privately.
I have to disagree here- the GCM tag adds integrity which is really
quite important. Happy to chat about it independently, of course.
should consider trying to solve...), and how to automate key rotation
(one of the nice things about Bruce's approach to storing the keys is
that we're leveraging the filesystem as an index- it's easy to see how
we might extend the key-per-file approach to allow us to, say, have a
different key for every 32GB of LSN, but if we tried to put all of the
keys into a single file then we'd have to figure out an indexing
solution for it which would allow us to find the key we need to decrypt
a given page...). I tend to agree with Bruce that we need to takeYeah, yuck on that plan. I was very happy how the per-version directory
worked with scripts that needed to store matching state.
I don't know that it's going to ultimately be the best answer, as we're
essentially using the filesystem as an index, as I mentioned above, but,
yeah, trying to do all of that ourselves during WAL replay doesn't seem
like it would be fun to try and figure out. This is an area that I
would think we'd be able to improve on in the future too- if someone
wants to spend the time coming up with a single-file format that is
indexed in some manner and still provides the guarantees that we need,
we could very likely teach pg_upgrade how to handle that and the data
set we're talking about here is quite small, even if we've got a bunch
of key rotation that's happened.
these things in steps, getting each piece implemented as we go. Maybe
we can do that in a separate repo for a time and then bring it all
together, as a few on this thread have voiced, but there's no doubt that
this is a large project and it's hard to see how we could possibly
commit all of it at once.I was putting stuff in a git tree/URL; you can see it here:
https://github.com/postgres/postgres/compare/master...bmomjian:key.diff
https://github.com/postgres/postgres/compare/master...bmomjian:key.patch
https://github.com/postgres/postgres/compare/master...bmomjian:keyHowever, people wanted persistent patches attached, so I started doing that.
Attached is the current patch set.
Doing both seems likely to be the best option and hopefully will help
everyone see the complete picture.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Sat, Jan 30, 2021 at 08:23:11AM -0500, Tom Kincaid wrote:
I propose that we meet to discuss what approach we want to use to move TDE
forward. We then start a new thread with a proposal on the approach
and finalize it via community consensus. I will invite Bruce, Stephen and
Masahiko to this meeting. If anybody else would like to participate in this
discussion and subsequently in the effort to get TDE in PG1x, please let me
know. Assuming Bruce, Stephen and Masahiko are down for this, I (or a volunteer
from this meeting) will post the proposal for how we move this patch forward in
another thread. Hopefully, we can get consensus on that and subsequently
restart the execution of delivering this feature.We got complaints that decisions were not publicly discussed, or were
too long, so I am not sure this helps.
If the notes are published afterwords as an explanation of why certain
choices were made, I suspect it'd be reasonably well received. The
concern about back-room discussions is more that decisions are made
without explanation as to why, provided we avoid that, I believe they
can be helpful.
So, +1 for my part to have the conversation.
Thanks,
Stephen
On Mon, Feb 1, 2021 at 06:34:53PM -0500, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Sat, Jan 30, 2021 at 08:23:11AM -0500, Tom Kincaid wrote:
I propose that we meet to discuss what approach we want to use to move TDE
forward.� We then start a new thread with a proposal on the approach
and�finalize it via community consensus. I will invite Bruce, Stephen and
Masahiko to this meeting. If anybody else would like to participate in this
discussion and subsequently in the effort to get TDE in PG1x, please let me
know. Assuming Bruce, Stephen and Masahiko are down for this, I (or a volunteer
from this meeting) will post the proposal for how we move this patch forward in
another thread. Hopefully, we can get consensus on that and subsequently
restart the execution of delivering this feature.We got complaints that decisions were not publicly discussed, or were
too long, so I am not sure this helps.If the notes are published afterwords as an explanation of why certain
choices were made, I suspect it'd be reasonably well received. The
concern about back-room discussions is more that decisions are made
without explanation as to why, provided we avoid that, I believe they
can be helpful.
Well, I thought that was what the wiki was, but I guess not. I did
remove some of the decision logic recently since we had made a final
decision. However, most of the questions were not covered on the wiki,
since, as I said, everyone comes with a different need for details.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Mon, Feb 1, 2021 at 06:31:32PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also protects against
decrypted data access after media theft.That's one valid use-case and it particularly makes sense to consider,
now that we support group read-access to the data cluster. The last
Do enough people use group read-access to be useful?
line seems a bit unclear- I would update it to say:
Cluster file encryption also provides data-at-rest security, protecting
users from data loss should the physical media on which the cluster is
stored be stolen, improperly deprovisioned (not wiped or destroyed), or
otherwise ends up in the hands of an attacker.
I have split the section into three paragraphs, trimmed down some of the
suggested text, and added it. Full version below.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.This isn't very clear as to exactly what the concern is or how an
attacker would be able to thwart the system if they had write access to
it. An attacker with write access could possibly attempt to replace the
existing keys, but with the key wrapping that we're using, that should
result in just a decryption failure (unless, of course, the attacker has
the actual KEK that was used, but that's not terribly interesting to
worry about since then they could just go access the files directly).
Uh, well, they could modify postgresql.conf to change the script to save
the secret returned by the script before returning it to the PG server.
We could require postgresql.conf to be somewhere secure, but then how do
we know that is secure? I just don't see a clean solution here, but the
idea that you write and then wait for the key to show up seems like a
very valid way of attack, and it took me a while to be able to
articulate it.
Until and unless we solve the issue around storing the GCM tags for each
page, we will have the risk that an attacker could modify a page in a
manner that we wouldn't detect. This is the biggest concern that I have
currently with the existing TDE patch sets.
Well, GCM certainly can detect page modification, but it can't detect
removing pages from the end of the table, or, since the nonce is
LSN/pageno, you could copy a page from another table that has the same
offset into another table, particularly with partitioning where the
tables have the same columns. We might be able to protect against the
later with some kind of table-id in the nonce, but I don't see how table
truncation can be detected without adding a whole lot of overhead and
complexity. And if we can't protect against those two, why bother with
detecting single-page modifications? We have to do a full job for it to
be useful.
There's two options that I see around how to address that issue- either
we arrange to create space in the page for the tag, such as by making
the 'special' space on a page a bit bigger and making sure that
everything understands that, or we'll need to add another fork in which
we store the tags (and possibly other TDE/encryption related
information). If we go with a fork then it should be possible to do WAL
streaming from an unencrypted cluster to an encrypted one, which would
be pretty neat, but it means another fork and another page that has to
be read/written every time we modify a page. Getting some input into
the trade-offs here would be really helpful. I don't think it's really
reasonable to go out with TDE without having figured out the integrity
side. Certainly, when I review things like NIST 800-53, it's very clear
that the requirement is for both confidentiality *and* integrity.
Wow, well, if they are both required, and we can't do both, is it
valuable to do just one? Yes, we can do something later, but what if we
have no idea how to implement the second part? Your fork idea above
might need to store some table-id used for the nonce (to prevent copying
from another table) and the number of pages in the table, which fixes
the integrity check issue, but adds a lot of complexity and perhaps
overhead.
This also does not protect from users who have read access to system
memory. This also does not detect or protect against users with write
access from removing or modifying database files.The last seems a bit obvious, but the first sentence quoted above is
important to make clear. I might even say:All of the pages in memory and all of the keys which are used for the
encryption and decryption are stored in the clear in memory and
therefore an attacker who is able to read the memory allocated by
PostgreSQL would be able to decrypt the enitre cluster.
Same as above, full version below.
Given what I said above, is the value of this feature for compliance, or
for actual additional security? If it just compliance, are we willing
to add all of this code just for that, even if it has limited security
value? We should answer this question now, and if we don't want it,
let's document that so users know and can consider alternatives.The feature is for both compliance and additional security. While there
are other ways to achieve data-at-rest encryption, they are not always
available, for a variety of reasons.
True.
FYI, I don't think we can detect or protect against writers modifying
the data files --- even if we could do it on a block level, they could
remove trailing pages (might cause index lookup failures) or copy
pages from other tables at the same offset. Therefore, I think we can
only offer viewing security, not modification detection/prevention.Protecting against file modification isn't about finding some way to
make it so that an attacker isn't able to modify the files, it's about
detecting the case where an unauthorized modification has happened.
Clearly if an attacker has gained write access to the system then we
can't protect against the attacker using the access they've gained, but
we can in most cases detect it and that's what we should be doing. It
would be really unfortunate to end up with a solution here that only
provides confidentiality and doesn't address integrity at all, and I
don't really think it's *that* hard to do both. That said, if we must
work at this in pieces and we can get agreement to handle
confidentiality initially and then add integrity later, that might be
reasonable.
See above.
I'm happy to go look over the KMS patches again if that'd be helpful and
to comment on the TDE PoC. I can also spend some time trying to improveI think we eventually need a full review of the TDE PoC, combined with
the Cybertec patch, and the wiki, to get them all aligned. However, as
I said already, let's get the KMS patch approved, even if we don't apply
it now, so we know we are on an approved foundation.While the Cybertec patch is interesting, I'd really like to see
something that's a bit less invasive when it comes to how temporary
files are handled. In particular, I think it'd be possible to have an
API that's very similar to the existing one for serial reading and
writing of files which wouldn't require nearly as many changes to things
like reorderbuffer.c. I also believe there's some things we could do to
avoid having to modify quite as many places when it comes to LSN
assignment, so the base patch isn't as big.
Yes, I think we would get the best ideas from all patches.
on each, as I've already done. A few of the larger concerns that I have
revolve around how to store integrity information (I've tried to find a
way to make room for such information in our existing page layout and,
perhaps unsuprisingly, it's far from trivial to do so in a way that will
avoid breaking the existing page layout, or where the same set of
binaries could work on both unencrypted pages and encrypted pages with
integrity validation information, and that's a problem that we reallyAs stated above, I think we only need a byte or two for the hint bit
counter (used in the IV), as I don't think the GCM verification bytes
will add any additional security, and I bet we can find a byte or two.
We do need a separate discussion on this, either here or privately.I have to disagree here- the GCM tag adds integrity which is really
quite important. Happy to chat about it independently, of course.
Yeah, see above.
should consider trying to solve...), and how to automate key rotation
(one of the nice things about Bruce's approach to storing the keys is
that we're leveraging the filesystem as an index- it's easy to see how
we might extend the key-per-file approach to allow us to, say, have a
different key for every 32GB of LSN, but if we tried to put all of the
keys into a single file then we'd have to figure out an indexing
solution for it which would allow us to find the key we need to decrypt
a given page...). I tend to agree with Bruce that we need to takeYeah, yuck on that plan. I was very happy how the per-version directory
worked with scripts that needed to store matching state.I don't know that it's going to ultimately be the best answer, as we're
essentially using the filesystem as an index, as I mentioned above, but,
yeah, trying to do all of that ourselves during WAL replay doesn't seem
like it would be fun to try and figure out. This is an area that I
would think we'd be able to improve on in the future too- if someone
wants to spend the time coming up with a single-file format that is
indexed in some manner and still provides the guarantees that we need,
we could very likely teach pg_upgrade how to handle that and the data
set we're talking about here is quite small, even if we've got a bunch
of key rotation that's happened.
I thought we were going to use failover to a standby as our data key
rotation method.
Here is the full doc part you wanted improved:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also provides data-at-rest
security, protecting users from data loss should the physical storage
media be stolen or improperly erased before disposal.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.
This also does not always detect if users with write access remove or
modify database files.
This also does not protect from users who have read access to system
memory — all in-memory data pages and data encryption keys are
stored unencrypted in memory, so an attacker who is able to read the
PostgreSQL process's memory can decrypt the entire cluster.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Mon, Feb 1, 2021 at 07:47:57PM -0500, Bruce Momjian wrote:
On Mon, Feb 1, 2021 at 06:31:32PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also protects against
decrypted data access after media theft.That's one valid use-case and it particularly makes sense to consider,
now that we support group read-access to the data cluster. The lastDo enough people use group read-access to be useful?
I am thinking group read-access might be a requirement for cluster file
encryption to be effective.
line seems a bit unclear- I would update it to say:
Cluster file encryption also provides data-at-rest security, protecting
users from data loss should the physical media on which the cluster is
stored be stolen, improperly deprovisioned (not wiped or destroyed), or
otherwise ends up in the hands of an attacker.I have split the section into three paragraphs, trimmed down some of the
suggested text, and added it. Full version below.
Here is an updated doc description of memory reading:
This also does not protect against users who have read access to
database process memory — all in-memory data pages and data
encryption keys are stored unencrypted in memory, so an attacker who
--> is able to read memory can decrypt the entire cluster. The Postgres
--> operating system user and the operating system administrator, e.g.,
--> the <literal>root</literal> user, have such access.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.This isn't very clear as to exactly what the concern is or how an
attacker would be able to thwart the system if they had write access to
it. An attacker with write access could possibly attempt to replace the
existing keys, but with the key wrapping that we're using, that should
result in just a decryption failure (unless, of course, the attacker has
the actual KEK that was used, but that's not terribly interesting to
worry about since then they could just go access the files directly).Uh, well, they could modify postgresql.conf to change the script to save
the secret returned by the script before returning it to the PG server.
We could require postgresql.conf to be somewhere secure, but then how do
we know that is secure? I just don't see a clean solution here, but the
idea that you write and then wait for the key to show up seems like a
very valid way of attack, and it took me a while to be able to
articulate it.
Let's suppose you lock down your cluster --- the non-PGDATA files are
owned by root, postgresql.conf and pg_hba.conf are moved out of PGDATA
and are not writable by the database OS user, or we have the PGDATA
directory on another server, so the adversary can only write to the
remote PGDATA directory.
What can they do? Well, they can't modify pg_proc to add a shared
library since pg_proc is encrypted, so we have to focus on files needed
before encryption starts or files that can't be easily encrypted. They
could create postgresql.conf.auto in PGDATA, and modify
cluster_key_command to capture the key, or they could modify preload
libraries or archive command to call a command to read memory as the PG
OS user and write the key out somewhere, or use the key to rewrite the
database files --- those wouldn't even need a database restart, just a
reload.
They could also modify pg_xact files so that, even though the heap/index
files are encrypted, how the contents of those files are interpreted
would change.
In summary, to detect malicious user writes, you would need to protect
the files used before encryption starts (root owned or owned by another
user?), and encrypt all files after encryption starts --- any other
approach would probably leave open attack vectors, and I don't think
there is sufficient community desire to add such boundaries.
How do other database systems guarantee to detect malicious writes?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Mon, Feb 1, 2021 at 07:47:57PM -0500, Bruce Momjian wrote:
On Mon, Feb 1, 2021 at 06:31:32PM -0500, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
The purpose of cluster file encryption is to prevent users with read
access to the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. It also protects against
decrypted data access after media theft.That's one valid use-case and it particularly makes sense to consider,
now that we support group read-access to the data cluster. The lastDo enough people use group read-access to be useful?
I am thinking group read-access might be a requirement for cluster file
encryption to be effective.
People certainly do use group read-access, but I don't see that as being
a requirement for cluster file encryption to be effective, it's just one
thing TDE can address, among others, as discussed.
line seems a bit unclear- I would update it to say:
Cluster file encryption also provides data-at-rest security, protecting
users from data loss should the physical media on which the cluster is
stored be stolen, improperly deprovisioned (not wiped or destroyed), or
otherwise ends up in the hands of an attacker.I have split the section into three paragraphs, trimmed down some of the
suggested text, and added it. Full version below.Here is an updated doc description of memory reading:
This also does not protect against users who have read access to
database process memory — all in-memory data pages and data
encryption keys are stored unencrypted in memory, so an attacker who
--> is able to read memory can decrypt the entire cluster. The Postgres
--> operating system user and the operating system administrator, e.g.,
--> the <literal>root</literal> user, have such access.
That's helpful, +1.
File system write access can allow for unauthorized file system data
decryption if the writes can be used to weaken the system's security
and this weakened system is later supplied with externally-stored keys.This isn't very clear as to exactly what the concern is or how an
attacker would be able to thwart the system if they had write access to
it. An attacker with write access could possibly attempt to replace the
existing keys, but with the key wrapping that we're using, that should
result in just a decryption failure (unless, of course, the attacker has
the actual KEK that was used, but that's not terribly interesting to
worry about since then they could just go access the files directly).Uh, well, they could modify postgresql.conf to change the script to save
the secret returned by the script before returning it to the PG server.
We could require postgresql.conf to be somewhere secure, but then how do
we know that is secure? I just don't see a clean solution here, but the
idea that you write and then wait for the key to show up seems like a
very valid way of attack, and it took me a while to be able to
articulate it.
postgresql.conf isn't always writable by the postgres user, though
postgresql.auto.conf is likely to always be. I'm not sure how much of a
concern that is, but it we wanted to take steps to explicitly address
this issue, we could have some kind of 'secure' postgresql.conf file
which we would encourage users to make owned by root and whose values
wouldn't be allowed to be overridden once set.
Let's suppose you lock down your cluster --- the non-PGDATA files are
owned by root, postgresql.conf and pg_hba.conf are moved out of PGDATA
and are not writable by the database OS user, or we have the PGDATA
directory on another server, so the adversary can only write to the
remote PGDATA directory.What can they do? Well, they can't modify pg_proc to add a shared
library since pg_proc is encrypted, so we have to focus on files needed
before encryption starts or files that can't be easily encrypted.
This isn't accurate- just because it's encrypted doesn't mean they can't
modify it. That's exactly why integrity is important, because an
attacker absolutely could modify the files directly and potentially
exploit the system through those modifications.
They could create postgresql.conf.auto in PGDATA, and modify
cluster_key_command to capture the key, or they could modify preload
libraries or archive command to call a command to read memory as the PG
OS user and write the key out somewhere, or use the key to rewrite the
database files --- those wouldn't even need a database restart, just a
reload.
They would need to actually be able to effect that reload though. This
is where the question comes up as to just what attack vector we're
trying to address. It's certainly possible that an attacker has only
access to the stored data in an off-line fashion (eg: a hard drive that
was mistakenly thrown away without being properly wiped) and that's one
of the cases which is addressed by cluster encryption. An attacker
might have access to the LUN that PG is running on but not to the
running server itself, which it seems like is what you're contemplating
here. That's a much harder attack vector to fully protect against and
we might need to do more than we're currently contemplating to address
it- but I don't think we necessarily must solve for all cases in the
first pass at this.
They could also modify pg_xact files so that, even though the heap/index
files are encrypted, how the contents of those files are interpreted
would change.
Yes, ideally, we'd encrypt/integrity check just about every part of the
running system and that's one area the patch doesn't address- things
like temporary files and other parts.
In summary, to detect malicious user writes, you would need to protect
the files used before encryption starts (root owned or owned by another
user?), and encrypt all files after encryption starts --- any other
approach would probably leave open attack vectors, and I don't think
there is sufficient community desire to add such boundaries.
There's going to be some attack vectors that TDE doesn't address. We
should identify and document those where we're able to. We could offer
up some mitigations (eg: strongly suggest monitoring of key utilization
such that if the KEK is used without a reboot of the system or similar
happening that it is reported and someone goes to look into it). While
such mitigations aren't perfect, they can be enough to allow approval of
a system to go operational (ultimately it comes down to what the
relevant security officer is willing to accept).
How do other database systems guarantee to detect malicious writes?
I doubt anyone would actually stipulate that they *guarantee* detection
of malicious writes, and I don't think we should either, but certainly
the other systems which provide TDE do so in a manner that provides both
confidentiality and integrity. The big O, at least, documents that they
use SHA-1 for their integrity checking, though they also provide an
option which disables it. If we used an additional fork to provide the
integrity then we could also give users the option of either having
integrity included or not.
Thanks,
Stephen
On Wed, Feb 3, 2021 at 10:33:57AM -0500, Stephen Frost wrote:
I am thinking group read-access might be a requirement for cluster file
encryption to be effective.People certainly do use group read-access, but I don't see that as being
a requirement for cluster file encryption to be effective, it's just one
thing TDE can address, among others, as discussed.
Agreed.
This also does not protect against users who have read access to
database process memory — all in-memory data pages and data
encryption keys are stored unencrypted in memory, so an attacker who
--> is able to read memory can decrypt the entire cluster. The Postgres
--> operating system user and the operating system administrator, e.g.,
--> the <literal>root</literal> user, have such access.That's helpful, +1.
Good.
Uh, well, they could modify postgresql.conf to change the script to save
the secret returned by the script before returning it to the PG server.
We could require postgresql.conf to be somewhere secure, but then how do
we know that is secure? I just don't see a clean solution here, but the
idea that you write and then wait for the key to show up seems like a
very valid way of attack, and it took me a while to be able to
articulate it.postgresql.conf isn't always writable by the postgres user, though
postgresql.auto.conf is likely to always be. I'm not sure how much of a
concern that is, but it we wanted to take steps to explicitly address
this issue, we could have some kind of 'secure' postgresql.conf file
which we would encourage users to make owned by root and whose values
wouldn't be allowed to be overridden once set.
Well, I think there is a lot more than postgresql.conf to worry about ---
see below.
Let's suppose you lock down your cluster --- the non-PGDATA files are
owned by root, postgresql.conf and pg_hba.conf are moved out of PGDATA
and are not writable by the database OS user, or we have the PGDATA
directory on another server, so the adversary can only write to the
remote PGDATA directory.What can they do? Well, they can't modify pg_proc to add a shared
library since pg_proc is encrypted, so we have to focus on files needed
before encryption starts or files that can't be easily encrypted.This isn't accurate- just because it's encrypted doesn't mean they can't
modify it. That's exactly why integrity is important, because an
attacker absolutely could modify the files directly and potentially
exploit the system through those modifications.
They can't easily modify it to inject a shared object referenced into a
system column, was my point --- also see below.
They could create postgresql.conf.auto in PGDATA, and modify
cluster_key_command to capture the key, or they could modify preload
libraries or archive command to call a command to read memory as the PG
OS user and write the key out somewhere, or use the key to rewrite the
database files --- those wouldn't even need a database restart, just a
reload.They would need to actually be able to effect that reload though. This
is where the question comes up as to just what attack vector we're
trying to address. It's certainly possible that an attacker has only
access to the stored data in an off-line fashion (eg: a hard drive that
was mistakenly thrown away without being properly wiped) and that's one
of the cases which is addressed by cluster encryption. An attacker
might have access to the LUN that PG is running on but not to the
running server itself, which it seems like is what you're contemplating
here. That's a much harder attack vector to fully protect against and
we might need to do more than we're currently contemplating to address
it- but I don't think we necessarily must solve for all cases in the
first pass at this.
See below.
They could also modify pg_xact files so that, even though the heap/index
files are encrypted, how the contents of those files are interpreted
would change.Yes, ideally, we'd encrypt/integrity check just about every part of the
running system and that's one area the patch doesn't address- things
like temporary files and other parts.
It is worse than that --- see below.
In summary, to detect malicious user writes, you would need to protect
the files used before encryption starts (root owned or owned by another
user?), and encrypt all files after encryption starts --- any other
approach would probably leave open attack vectors, and I don't think
there is sufficient community desire to add such boundaries.There's going to be some attack vectors that TDE doesn't address. We
should identify and document those where we're able to. We could offer
up some mitigations (eg: strongly suggest monitoring of key utilization
such that if the KEK is used without a reboot of the system or similar
happening that it is reported and someone goes to look into it). While
such mitigations aren't perfect, they can be enough to allow approval of
a system to go operational (ultimately it comes down to what the
relevant security officer is willing to accept).
I ended up adding to the feature description in the docs to clearly
outline what this feature provides, and what it does not:
The purpose of cluster file encryption is to prevent users with read
access on the directories used to store database files and write-ahead
log files from being able to access the data stored in those files.
For example, when using cluster file encryption, users who have read
access to the cluster directories for backup purposes will not be able
to decrypt the data stored in these files. Read-only access for a group
of users can be enabled using the <application>initdb</application>
<option>--allow-group-access</option> option. Cluster file encryption
also provides data-at-rest security, protecting users from data loss
should the physical storage media be stolen or improperly erased before
disposal.
Cluster file encryption does not protect against unauthorized file
system writes. Such writes can allow data decryption if used to weaken
the system's security and the weakened system is later supplied with
the externally-stored cluster encryption key. This also does not always
detect if users with write access remove or modify database files.
This also does not protect against users who have read access to database
process memory because all in-memory data pages and data encryption keys
are stored unencrypted in memory. Therefore, an attacker who is able
to read memory can read the data encryption keys and decrypt the entire
cluster. The Postgres operating system user and the operating system
administrator, e.g., the <literal>root</literal> user, have such access.
How do other database systems guarantee to detect malicious writes?
I doubt anyone would actually stipulate that they *guarantee* detection
of malicious writes, and I don't think we should either, but certainly
the other systems which provide TDE do so in a manner that provides both
confidentiality and integrity. The big O, at least, documents that they
use SHA-1 for their integrity checking, though they also provide an
option which disables it. If we used an additional fork to provide the
integrity then we could also give users the option of either having
integrity included or not.
I thought more about this at an abstract level. If you are worried
about malicious users _reading_ data, you can encrypt the sensitive
parts, e.g., heap/index/WAL/temp, and leave some unencrypted, like
pg_xact. Reading pg_xact is pretty useless if you can't read the heap
pages. Reading postgresql.conf.auto, the external key retrieval
scripts, etc. are useless too.
However, when you are trying to protect against write access, you have
to really encrypt _everything_, because the system is very
interdependent, and changing one part where _reading_ is safe can affect
other parts that must remain secure. You can modify
postgresql.conf.auto to capture the cluster key, or maybe even change
something to dump out the data keys from memory. You can modify pg_xact
to affect how heap pages are interpreted.
My point is that being able to detect malicious heap/index writes really
doesn't gain us any security since there are much more serious writes
that can be made, and protecting against those more serious writes would
cause unacceptable Postgres source code changes which will probably
never be implemented.
My summary point is that we should clearly spell out exactly what
protections we are offering, and an estimate of the code impact, before
moving forward so the community can agree it is worthwhile to add this.
Also, looking at the PCI DSS 3.2.1 spec from May 2018 (click-through
required):
https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss#agreement
or open PDF link here:
https://commerce.uwo.ca/pdf/PCI_DSS_v3-2-1.pdf
Page 41 covers what they expect from an encrypted file system, and from
key encryption key and data encryption keys. There is a v4.0 spec in
draft but I can't find a PDF available online.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Wed, Feb 3, 2021 at 01:16:32PM -0500, Bruce Momjian wrote:
On Wed, Feb 3, 2021 at 10:33:57AM -0500, Stephen Frost wrote:
I doubt anyone would actually stipulate that they *guarantee* detection
of malicious writes, and I don't think we should either, but certainly
the other systems which provide TDE do so in a manner that provides both
confidentiality and integrity. The big O, at least, documents that they
use SHA-1 for their integrity checking, though they also provide an
option which disables it. If we used an additional fork to provide the
integrity then we could also give users the option of either having
integrity included or not.I thought more about this at an abstract level. If you are worried
about malicious users _reading_ data, you can encrypt the sensitive
parts, e.g., heap/index/WAL/temp, and leave some unencrypted, like
pg_xact. Reading pg_xact is pretty useless if you can't read the heap
pages. Reading postgresql.conf.auto, the external key retrieval
scripts, etc. are useless too.However, when you are trying to protect against write access, you have
to really encrypt _everything_, because the system is very
interdependent, and changing one part where _reading_ is safe can affect
other parts that must remain secure. You can modify
postgresql.conf.auto to capture the cluster key, or maybe even change
something to dump out the data keys from memory. You can modify pg_xact
to affect how heap pages are interpreted.My point is that being able to detect malicious heap/index writes really
doesn't gain us any security since there are much more serious writes
that can be made, and protecting against those more serious writes would
cause unacceptable Postgres source code changes which will probably
never be implemented.
I looked further. First, I don't think we are going to be able to
protect at all against users who have _write_ access on the OS running
Postgres. It would be too easy to just read process memory, or modify
~/.profile.
I think the only possible option would be to try to give some protection
against users with write access to PGDATA, where PGDATA is on another
server, e.g., via NFS. We can't protect against all db modifications,
for reasons outlined above, but we might be able to protect against
write users being able to _read_ the keys and therefore decrypt data.
Looking at PGDATA, we have, at least:
postgresql.conf
pg_hba.conf
postmaster.opts
postgresql.conf.auto
which could be exploited to cause reading of the cluster key or process
memory. The first two can be located outside of PGDATA but the last two
currently cannot.
The problem is that this is a limited use-case, and there are probably
other problems I am not considering. It seems too error-prone to even
try protect against this, but it does limit the value of this feature.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Wed, Feb 3, 2021 at 01:16:32PM -0500, Bruce Momjian wrote:
On Wed, Feb 3, 2021 at 10:33:57AM -0500, Stephen Frost wrote:
I doubt anyone would actually stipulate that they *guarantee* detection
of malicious writes, and I don't think we should either, but certainly
the other systems which provide TDE do so in a manner that provides both
confidentiality and integrity. The big O, at least, documents that they
use SHA-1 for their integrity checking, though they also provide an
option which disables it. If we used an additional fork to provide the
integrity then we could also give users the option of either having
integrity included or not.I thought more about this at an abstract level. If you are worried
about malicious users _reading_ data, you can encrypt the sensitive
parts, e.g., heap/index/WAL/temp, and leave some unencrypted, like
pg_xact. Reading pg_xact is pretty useless if you can't read the heap
pages. Reading postgresql.conf.auto, the external key retrieval
scripts, etc. are useless too.However, when you are trying to protect against write access, you have
to really encrypt _everything_, because the system is very
interdependent, and changing one part where _reading_ is safe can affect
other parts that must remain secure. You can modify
postgresql.conf.auto to capture the cluster key, or maybe even change
something to dump out the data keys from memory. You can modify pg_xact
to affect how heap pages are interpreted.My point is that being able to detect malicious heap/index writes really
doesn't gain us any security since there are much more serious writes
that can be made, and protecting against those more serious writes would
cause unacceptable Postgres source code changes which will probably
never be implemented.I looked further. First, I don't think we are going to be able to
protect at all against users who have _write_ access on the OS running
Postgres. It would be too easy to just read process memory, or modify
~/.profile.
I don't think anyone is really expecting that we'll be able to come up
with a way to protect against attackers who have fully compromised the
OS to the point where they can read/write OS memory, or even the PG unix
account. I'm certainly not suggesting that there is a way to do that or
that it's an attack vector we are trying to address here.
I think the only possible option would be to try to give some protection
against users with write access to PGDATA, where PGDATA is on another
server, e.g., via NFS. We can't protect against all db modifications,
for reasons outlined above, but we might be able to protect against
write users being able to _read_ the keys and therefore decrypt data.
That certainly seems like a worthy goal. I also really want to stress
that I don't think anyone is expecting us to be able to "protect"
against users who have write access to the system- write access to files
is really an OS level issue and there's not much we can do once someone
has found a way to circumvent that (we can try to help the OS by doing
things like using SELinux, of course, but that's a different
discussion). At the point that an attacker has gotten write access, the
best we can do is complain loudly if we detect unexpected modifications.
Ideally, we would be able to do that for everything, but certainly doing
it for the principal data would go a long way and is far better than
nothing.
Now, that said, I don't know that we absolutely must have that in the
first release of TDE support for PG. In thinking about this, I would
say we have two basic options:
- Keep the same page layout, requiring that integrity data must be
stored elsewhere, eg: another fork
- Use a different page layout when TDE is enabled, making room for
integrity information to be included on each page
There's a set of pros and cons for these:
Same page layout pros:
- Simpler and less impactful on the overall system
- With integrity data stored elsewhere, could possibly be something
that's optional to enable/disable on a per-table basis
- Potential to do things like have an unencrypted primary and an
encrypted replica, providing an easier migration path
Same page layout cons:
- Integrity information must be stored elsewhere
- Increases the reads/memory that is needed, since we have to look up
the integrity information on every read.
- Increases the writes that have to be done since we'd be dirtying
multiple pages instead of just the main fork (though this isn't
exactly unusual- there's the vis map, and indexes, etc, but it'd be
yet another thing we're updating)
Different page layout pros:
- Avoids extra reads/writes for the integrity information
- Once done, this might provide us with a way to add other page level
information in the future while still being able to work with older
page formats
Different page layout cons:
- Wouldn't be able to have an encrypted replica follow an unencrypted
primary, migration would require logical replication or similar
- More core code changes, and extensions, to handle a different page
layout when cluster is initialized with TDE+integrity
While I've been thinking about this, I have to admit that either
approach could be done later and it's probably best to accept that and
push it off until we have the initial TDE work done. I had been
thinking that changing the page layout would be better to do in the same
release as TDE, but having been playing around with that approach for a
while it just seems like it's too much to try and include at the same
time. We should be sure to be clear and document that though.
Looking at PGDATA, we have, at least:
postgresql.conf
pg_hba.conf
postmaster.opts
postgresql.conf.autowhich could be exploited to cause reading of the cluster key or process
memory. The first two can be located outside of PGDATA but the last two
currently cannot.
There are certainly already users out there who intentionally make
postgresql.auto.conf owned by root/root, zero-sized, and monitor it to
make sure that it isn't updated. postgresql.conf actually is also often
monitored for changes by a change management system of some kind and may
also be owned by root/root already. I suspect that postmaster.opts is
not monitored as closely, but that's probably due more to the fact that
we don't really document it as a configuration system file and it can't
be put outside of PGDATA. Having a way to move it outside of PGDATA or
just not have it be used at all (do we really need it..?) would be
another way to address that risk though.
The problem is that this is a limited use-case, and there are probably
other problems I am not considering. It seems too error-prone to even
try protect against this, but it does limit the value of this feature.
I don't think we need to consider it a failing of the capability every
time we think of something else that really should be addressed when
considering this attack vector. We aren't going to be releasing this
and saying "we guarantee that this protects against an attacker who has
write access to PGDATA". Instead, we would be documenting "XYZ, when
enabled, is used to validate the integrity of ABC data. Individuals
concerned with unexpected modifications to their system should consider
independently monitoring files D, E, F. Note that there is currently no
explicit protection against or detection of unexpected or malicious
modification of other parts of the system such as the transaction
record.", or something along those lines. Hardening guidelines would
also recommend things like having postgresql.conf moved out of PGDATA
and owned by root/root, etc. Users would then have the ability to
evaluate if what we're providing is sufficient for their requirements
or not, and to then provide us with feedback about what they feel is
still missing before they would be able to use PG for their use-case.
To that end, I would hope that we'd eventually develop a way to detect
unexpected modifications in other parts of the system, both as a way to
discover filesystem corruption earlier but also in the case of a
malicious attacker. The latter would involve more work, of course, but
it doesn't seem insurmountable. I don't think it's necessary to get
into that today though.
I am concerned when statements are made that we are just never going to
do something-or-other because we think it'd be a lot of source code
changes or won't be completely perfect against every attack we can think
of. There was a good bit of that with RLS which also made it a
particularly difficult feature to push forward, but, thanks to clearly
documenting what was and wasn't addressed, clearly admitting that there
are covert channel attacks that might be possible due to how it works,
it's been pretty well accepted and there hasn't been some huge number of
issues or CVEs that have been associated with it or mismatched
expectations that users of it have had regarding what it does and
doesn't protect against.
Thanks,
Stephen
On Fri, Feb 5, 2021 at 01:14:35PM -0500, Stephen Frost wrote:
I looked further. First, I don't think we are going to be able to
protect at all against users who have _write_ access on the OS running
Postgres. It would be too easy to just read process memory, or modify
~/.profile.I don't think anyone is really expecting that we'll be able to come up
with a way to protect against attackers who have fully compromised the
OS to the point where they can read/write OS memory, or even the PG unix
account. I'm certainly not suggesting that there is a way to do that or
that it's an attack vector we are trying to address here.
OK, that's good.
I think the only possible option would be to try to give some protection
against users with write access to PGDATA, where PGDATA is on another
server, e.g., via NFS. We can't protect against all db modifications,
for reasons outlined above, but we might be able to protect against
write users being able to _read_ the keys and therefore decrypt data.That certainly seems like a worthy goal. I also really want to stress
that I don't think anyone is expecting us to be able to "protect"
against users who have write access to the system- write access to files
is really an OS level issue and there's not much we can do once someone
has found a way to circumvent that (we can try to help the OS by doing
things like using SELinux, of course, but that's a different
discussion). At the point that an attacker has gotten write access, the
Agreed.
best we can do is complain loudly if we detect unexpected modifications.
Ideally, we would be able to do that for everything, but certainly doing
it for the principal data would go a long way and is far better than
nothing.
I disagree. If we only warn about some parts, attackers will just
attack other parts. It will also give users a false sense of security.
If you can get the keys, it doesn't matter if there is one or ten ways
of getting them, if they are all of equal difficulty. Same with
modifying the system files.
Now, that said, I don't know that we absolutely must have that in the
first release of TDE support for PG. In thinking about this, I would
say we have two basic options:
I skipped this part since I think we need a fully secure plan before
considering page format changes. We don't need it for our currently
outlined feature-set.
Looking at PGDATA, we have, at least:
postgresql.conf
pg_hba.conf
postmaster.opts
postgresql.conf.autowhich could be exploited to cause reading of the cluster key or process
memory. The first two can be located outside of PGDATA but the last two
currently cannot.There are certainly already users out there who intentionally make
postgresql.auto.conf owned by root/root, zero-sized, and monitor it to
make sure that it isn't updated. postgresql.conf actually is also often
monitored for changes by a change management system of some kind and may
also be owned by root/root already. I suspect that postmaster.opts is
not monitored as closely, but that's probably due more to the fact that
we don't really document it as a configuration system file and it can't
be put outside of PGDATA. Having a way to move it outside of PGDATA or
just not have it be used at all (do we really need it..?) would be
another way to address that risk though.
I think postmaster.opts is used for pg_ctl reload. I think the question
is whether the value of maliciously writable PGDATA being able to read
the keys, while not protecting or detecting all malicious
writes/db-modifications, is worth it. And, while I listed the files
above, there are probably many more ways to break the system.
The problem is that this is a limited use-case, and there are probably
other problems I am not considering. It seems too error-prone to even
try protect against this, but it does limit the value of this feature.I don't think we need to consider it a failing of the capability every
time we think of something else that really should be addressed when
considering this attack vector. We aren't going to be releasing this
and saying "we guarantee that this protects against an attacker who has
write access to PGDATA". Instead, we would be documenting "XYZ, when
enabled, is used to validate the integrity of ABC data. Individuals
concerned with unexpected modifications to their system should consider
independently monitoring files D, E, F. Note that there is currently no
explicit protection against or detection of unexpected or malicious
modification of other parts of the system such as the transaction
record.", or something along those lines. Hardening guidelines would
also recommend things like having postgresql.conf moved out of PGDATA
and owned by root/root, etc. Users would then have the ability to
evaluate if what we're providing is sufficient for their requirements
or not, and to then provide us with feedback about what they feel is
still missing before they would be able to use PG for their use-case.
See above --- I think we can't just say we close _most_ of the doors
here, and I am afraid there will be more and more cases we miss. It
feels too open-ended. For example, imagine modifying a PGDATA file so
it is a symbolic link to another file that is not in PGDATA? Seems that
would break all sorts of security restrictions, and that's just a new
idea I came up with today.
What I don't want to do is to add a lot of complexity to the system, and
not really gain any meaningful security.
To that end, I would hope that we'd eventually develop a way to detect
unexpected modifications in other parts of the system, both as a way to
discover filesystem corruption earlier but also in the case of a
malicious attacker. The latter would involve more work, of course, but
it doesn't seem insurmountable. I don't think it's necessary to get
into that today though.I am concerned when statements are made that we are just never going to
do something-or-other because we think it'd be a lot of source code
changes or won't be completely perfect against every attack we can think
of. There was a good bit of that with RLS which also made it a
particularly difficult feature to push forward, but, thanks to clearly
documenting what was and wasn't addressed, clearly admitting that there
are covert channel attacks that might be possible due to how it works,
it's been pretty well accepted and there hasn't been some huge number of
issues or CVEs that have been associated with it or mismatched
expectations that users of it have had regarding what it does and
doesn't protect against.
Oh, that is a very meaningful lesson. I do think that for cluster file
encryption, if we have a vulnerability, someone will write a script for
it, and it could be widely exploited. I think RLS gets a little more
flexibility since someone is already in the database when using it.
I am not against adding more security features, but I need agreement
that the existing features/protections, with the planned source code
impact, is acceptable. I don't want to go down the road of getting the
feature with the _hope_ that later changes will make the feature
acceptable --- for me, either what we are planning now is acceptable
given its code impact, or it is not. If the feature is not sufficient,
then I would not move forward until we had a reasonable plan of when the
feature would have acceptable usefulness, and acceptable source code
impact.
The big problem, as you outlined above, is that adding to the
protections, like malicious write detection for a remote PGDATA, greatly
increases the code impact, and ultimately, might be unsolvable.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Fri, Feb 5, 2021 at 01:14:35PM -0500, Stephen Frost wrote:
I looked further. First, I don't think we are going to be able to
protect at all against users who have _write_ access on the OS running
Postgres. It would be too easy to just read process memory, or modify
~/.profile.I don't think anyone is really expecting that we'll be able to come up
with a way to protect against attackers who have fully compromised the
OS to the point where they can read/write OS memory, or even the PG unix
account. I'm certainly not suggesting that there is a way to do that or
that it's an attack vector we are trying to address here.OK, that's good.
I think the only possible option would be to try to give some protection
against users with write access to PGDATA, where PGDATA is on another
server, e.g., via NFS. We can't protect against all db modifications,
for reasons outlined above, but we might be able to protect against
write users being able to _read_ the keys and therefore decrypt data.That certainly seems like a worthy goal. I also really want to stress
that I don't think anyone is expecting us to be able to "protect"
against users who have write access to the system- write access to files
is really an OS level issue and there's not much we can do once someone
has found a way to circumvent that (we can try to help the OS by doing
things like using SELinux, of course, but that's a different
discussion). At the point that an attacker has gotten write access, theAgreed.
best we can do is complain loudly if we detect unexpected modifications.
Ideally, we would be able to do that for everything, but certainly doing
it for the principal data would go a long way and is far better than
nothing.I disagree. If we only warn about some parts, attackers will just
attack other parts. It will also give users a false sense of security.
If you can get the keys, it doesn't matter if there is one or ten ways
of getting them, if they are all of equal difficulty. Same with
modifying the system files.
I agree that there's an additional concern around the keys and that we
would want to have a solid way to avoid having them be compromised. We
might not be able to guarantee that attackers who can write to PGDATA
can't gain access to the keys in the first implementation, but I don't
see that as a problem- the TDE capability would still provide protection
against improper disposal and some other use-cases, which is useful. I
do think it'd be useful to consider how we could provide protection
against an attacker who has write access from being able to acquire the
keys, but that seems like a tractable problem. Following that, we could
look at how to provide integrity checking for principal data, using one
of the outlined approaches or maybe something else entirely. Lastly,
perhaps we can find a way to provide confidentiality and integrity for
other parts of the system.
Each of these steps is a useful improvement in its own right and will
open up more opportunities for PG to be used. It wasn't my intent to
suggest otherwise, but rather to see if there was an opportunity to get
a few things done at once if it wasn't too impactful. I agree now that
it makes sense to focus on the first step, so we can hopefully get that
accomplished.
There are certainly already users out there who intentionally make
postgresql.auto.conf owned by root/root, zero-sized, and monitor it to
make sure that it isn't updated. postgresql.conf actually is also often
monitored for changes by a change management system of some kind and may
also be owned by root/root already. I suspect that postmaster.opts is
not monitored as closely, but that's probably due more to the fact that
we don't really document it as a configuration system file and it can't
be put outside of PGDATA. Having a way to move it outside of PGDATA or
just not have it be used at all (do we really need it..?) would be
another way to address that risk though.I think postmaster.opts is used for pg_ctl reload. I think the question
is whether the value of maliciously writable PGDATA being able to read
the keys, while not protecting or detecting all malicious
writes/db-modifications, is worth it. And, while I listed the files
above, there are probably many more ways to break the system.
postmaster.opts is used for pg_ctl restart, just to be clear.
As I try to state above- I don't think we need to provide any specific
protections against a malicious writer for plain encryption to be
useful for some important use-cases. Providing protections against a
malicious writer being able to access the keys is certainly important
as, if they acquire the keys, they would be able to trivially both
decrypt the data and modify any other data they wished to, so it seems
likely that solving that would be the first step towards protecting
against a malicious writer, after which it's useful to think about what
else we could provide integrity checking of, and principal data strikes
me as the next sensible step, followed by what's essentially metadata.
The problem is that this is a limited use-case, and there are probably
other problems I am not considering. It seems too error-prone to even
try protect against this, but it does limit the value of this feature.I don't think we need to consider it a failing of the capability every
time we think of something else that really should be addressed when
considering this attack vector. We aren't going to be releasing this
and saying "we guarantee that this protects against an attacker who has
write access to PGDATA". Instead, we would be documenting "XYZ, when
enabled, is used to validate the integrity of ABC data. Individuals
concerned with unexpected modifications to their system should consider
independently monitoring files D, E, F. Note that there is currently no
explicit protection against or detection of unexpected or malicious
modification of other parts of the system such as the transaction
record.", or something along those lines. Hardening guidelines would
also recommend things like having postgresql.conf moved out of PGDATA
and owned by root/root, etc. Users would then have the ability to
evaluate if what we're providing is sufficient for their requirements
or not, and to then provide us with feedback about what they feel is
still missing before they would be able to use PG for their use-case.See above --- I think we can't just say we close _most_ of the doors
here, and I am afraid there will be more and more cases we miss. It
feels too open-ended. For example, imagine modifying a PGDATA file so
it is a symbolic link to another file that is not in PGDATA? Seems that
would break all sorts of security restrictions, and that's just a new
idea I came up with today.
It's not clear how that would provide the attacker with much, if
anything.
What I don't want to do is to add a lot of complexity to the system, and
not really gain any meaningful security.
Integrity is very meaningful to security, but key management would
certainly come first because if an attacker is able to acquire the keys
then they can circumvent any integrity check being done by simply using
the key. I appreciate that protecting the keys is non-trivial but it's
absolutely critical as everything else falls apart if the key is
compromised. I don't think we should be thinking that we're going to be
done with key management or with providing ways to acquire keys even if
the currently proposed patches go in- we'll undoubtably need to provide
other options in the future. There's an interesting point in this
regarding how the flexibility of the shell-script based approach also
introduces this risk that an attacker could modify it and write the key
out to somewhere that they could get at pretty easily. Having support
for directly fetching the key from the Linux kernel or the various
vaulting systems would avoid this risk, I would think. Maybe there's a
way to get PG to dump the key out of system memory by modifying other
files in PGDATA but that's surely quite a bit more difficult.
Ultimately, I don't think this voids the proposed approach but I do
think it means we'll want to improve on this in the future.
To that end, I would hope that we'd eventually develop a way to detect
unexpected modifications in other parts of the system, both as a way to
discover filesystem corruption earlier but also in the case of a
malicious attacker. The latter would involve more work, of course, but
it doesn't seem insurmountable. I don't think it's necessary to get
into that today though.I am concerned when statements are made that we are just never going to
do something-or-other because we think it'd be a lot of source code
changes or won't be completely perfect against every attack we can think
of. There was a good bit of that with RLS which also made it a
particularly difficult feature to push forward, but, thanks to clearly
documenting what was and wasn't addressed, clearly admitting that there
are covert channel attacks that might be possible due to how it works,
it's been pretty well accepted and there hasn't been some huge number of
issues or CVEs that have been associated with it or mismatched
expectations that users of it have had regarding what it does and
doesn't protect against.Oh, that is a very meaningful lesson. I do think that for cluster file
encryption, if we have a vulnerability, someone will write a script for
it, and it could be widely exploited. I think RLS gets a little more
flexibility since someone is already in the database when using it.
In the current attack we're contemplating, the attacker's got write
access to the filesystem and if that's happening then they've managed to
get through a few layers already, I would think, so it seems unlikely
that it would be widely exploited. Of course, we'd like to avoid having
vulnerabilities where we can, but a particular behavior is only a
vulnerabiliy if there's an expectation that we protect against that kind
of attack, which is why documentation is extremely important, which is
what I was trying to get at with the RLS example.
I am not against adding more security features, but I need agreement
that the existing features/protections, with the planned source code
impact, is acceptable. I don't want to go down the road of getting the
feature with the _hope_ that later changes will make the feature
acceptable --- for me, either what we are planning now is acceptable
given its code impact, or it is not. If the feature is not sufficient,
then I would not move forward until we had a reasonable plan of when the
feature would have acceptable usefulness, and acceptable source code
impact.
See above. I do think that the proposed approach is a valuable
capability and improvement in its own right. It seems likely that this
first step, as proposed, would allow us to support use-cases such as the
PCI one you mentioned previously. Taking it further and adding
integrity validation would move us into even more use-cases as it would
address NIST requirements which explicitly call for confidentiality and
integrity.
The big problem, as you outlined above, is that adding to the
protections, like malicious write detection for a remote PGDATA, greatly
increases the code impact, and ultimately, might be unsolvable.
I don't think we really know that it increases the code impact hugely or
is unsolveable, but ultimately those are really debates for another day
at this point.
Thanks,
Stephen
On Fri, Feb 5, 2021 at 05:21:22PM -0500, Stephen Frost wrote:
I disagree. If we only warn about some parts, attackers will just
attack other parts. It will also give users a false sense of security.
If you can get the keys, it doesn't matter if there is one or ten ways
of getting them, if they are all of equal difficulty. Same with
modifying the system files.I agree that there's an additional concern around the keys and that we
would want to have a solid way to avoid having them be compromised. We
might not be able to guarantee that attackers who can write to PGDATA
can't gain access to the keys in the first implementation, but I don't
see that as a problem- the TDE capability would still provide protection
against improper disposal and some other use-cases, which is useful. I
Agreed.
do think it'd be useful to consider how we could provide protection
against an attacker who has write access from being able to acquire the
keys, but that seems like a tractable problem. Following that, we could
look at how to provide integrity checking for principal data, using one
of the outlined approaches or maybe something else entirely. Lastly,
perhaps we can find a way to provide confidentiality and integrity for
other parts of the system.
Yes, we should consider it, and I want to have this discussion. Ideally
we could implement that now, because it might be harder later. However,
I don't see how we can add additional security protections without
adding a lot more complexity. You are right we might have better ideas
later.
Each of these steps is a useful improvement in its own right and will
open up more opportunities for PG to be used. It wasn't my intent to
suggest otherwise, but rather to see if there was an opportunity to get
a few things done at once if it wasn't too impactful. I agree now that
it makes sense to focus on the first step, so we can hopefully get that
accomplished.
OK, good.
I think postmaster.opts is used for pg_ctl reload. I think the question
is whether the value of maliciously writable PGDATA being able to read
the keys, while not protecting or detecting all malicious
writes/db-modifications, is worth it. And, while I listed the files
above, there are probably many more ways to break the system.postmaster.opts is used for pg_ctl restart, just to be clear.
Yes, sorry, "restart".
As I try to state above- I don't think we need to provide any specific
protections against a malicious writer for plain encryption to be
useful for some important use-cases. Providing protections against a
malicious writer being able to access the keys is certainly important
as, if they acquire the keys, they would be able to trivially both
decrypt the data and modify any other data they wished to, so it seems
likely that solving that would be the first step towards protecting
against a malicious writer, after which it's useful to think about what
else we could provide integrity checking of, and principal data strikes
me as the next sensible step, followed by what's essentially metadata.
Agreed.
See above --- I think we can't just say we close _most_ of the doors
here, and I am afraid there will be more and more cases we miss. It
feels too open-ended. For example, imagine modifying a PGDATA file so
it is a symbolic link to another file that is not in PGDATA? Seems that
would break all sorts of security restrictions, and that's just a new
idea I came up with today.It's not clear how that would provide the attacker with much, if
anything.
Not sure myself either.
What I don't want to do is to add a lot of complexity to the system, and
not really gain any meaningful security.Integrity is very meaningful to security, but key management would
certainly come first because if an attacker is able to acquire the keys
then they can circumvent any integrity check being done by simply using
the key. I appreciate that protecting the keys is non-trivial but it's
absolutely critical as everything else falls apart if the key is
compromised. I don't think we should be thinking that we're going to be
Agreed,
done with key management or with providing ways to acquire keys even if
the currently proposed patches go in- we'll undoubtably need to provide
other options in the future. There's an interesting point in this
regarding how the flexibility of the shell-script based approach also
introduces this risk that an attacker could modify it and write the key
out to somewhere that they could get at pretty easily. Having support
for directly fetching the key from the Linux kernel or the various
vaulting systems would avoid this risk, I would think. Maybe there's a
Agreed.
way to get PG to dump the key out of system memory by modifying other
files in PGDATA but that's surely quite a bit more difficult.
Ultimately, I don't think this voids the proposed approach but I do
think it means we'll want to improve on this in the future.
OK. I was just saying we can't be sure we can improve it.
Oh, that is a very meaningful lesson. I do think that for cluster file
encryption, if we have a vulnerability, someone will write a script for
it, and it could be widely exploited. I think RLS gets a little more
flexibility since someone is already in the database when using it.In the current attack we're contemplating, the attacker's got write
access to the filesystem and if that's happening then they've managed to
get through a few layers already, I would think, so it seems unlikely
that it would be widely exploited. Of course, we'd like to avoid having
Agreed.
vulnerabilities where we can, but a particular behavior is only a
vulnerabiliy if there's an expectation that we protect against that kind
of attack, which is why documentation is extremely important, which is
what I was trying to get at with the RLS example.
True.
I am not against adding more security features, but I need agreement
that the existing features/protections, with the planned source code
impact, is acceptable. I don't want to go down the road of getting the
feature with the _hope_ that later changes will make the feature
acceptable --- for me, either what we are planning now is acceptable
given its code impact, or it is not. If the feature is not sufficient,
then I would not move forward until we had a reasonable plan of when the
feature would have acceptable usefulness, and acceptable source code
impact.See above. I do think that the proposed approach is a valuable
capability and improvement in its own right. It seems likely that this
first step, as proposed, would allow us to support use-cases such as the
PCI one you mentioned previously. Taking it further and adding
integrity validation would move us into even more use-cases as it would
address NIST requirements which explicitly call for confidentiality and
integrity.
Good. I wanted to express this so everyone is clear on what we are
doing, and what we are not doing but might be able to do in the future.
The big problem, as you outlined above, is that adding to the
protections, like malicious write detection for a remote PGDATA, greatly
increases the code impact, and ultimately, might be unsolvable.I don't think we really know that it increases the code impact hugely or
is unsolveable, but ultimately those are really debates for another day
at this point.
True.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
On Fri, Feb 5, 2021 at 07:53:18PM -0500, Bruce Momjian wrote:
On Fri, Feb 5, 2021 at 05:21:22PM -0500, Stephen Frost wrote:
I disagree. If we only warn about some parts, attackers will just
attack other parts. It will also give users a false sense of security.
If you can get the keys, it doesn't matter if there is one or ten ways
of getting them, if they are all of equal difficulty. Same with
modifying the system files.I agree that there's an additional concern around the keys and that we
would want to have a solid way to avoid having them be compromised. We
might not be able to guarantee that attackers who can write to PGDATA
can't gain access to the keys in the first implementation, but I don't
see that as a problem- the TDE capability would still provide protection
against improper disposal and some other use-cases, which is useful. IAgreed.
do think it'd be useful to consider how we could provide protection
against an attacker who has write access from being able to acquire the
keys, but that seems like a tractable problem. Following that, we could
look at how to provide integrity checking for principal data, using one
of the outlined approaches or maybe something else entirely. Lastly,
perhaps we can find a way to provide confidentiality and integrity for
other parts of the system.Yes, we should consider it, and I want to have this discussion. Ideally
we could implement that now, because it might be harder later. However,
I don't see how we can add additional security protections without
adding a lot more complexity. You are right we might have better ideas
later.
I added a Limitations section so we can consider future improvements:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Limitations
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
I have made significant progress on the cluster file encryption feature so
it is time for me to post a new set of patches.
I went backward and forward on this patch. I went backward and created
significant user and developer documentation for this feature. I went
forward and added heap/index file encryption, so it actually does
something useful.
Patch
-----
I have broken the patch into 13 parts, attached, which can be reviewed
separately. However, to get a running system, you have to apply all the
patches in order. The GitHub patch link has more details, has a combined
patch link, and is updated regularly:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Patches
I have 13 questions about the patch's approach, marked with XXX
comments. I hope to get these 13 patches into committable shape, but
not commit them, and then continue on to WAL and temporary file
encryption, and pg_basebackup changes. My hope is to have this full
feature committed together early in the PG 15 development cycle. This
progress would not be possible without critical work by Masahiko Sawada
and Stephen Frost.
Performance
-----------
I have used pgbench to test the performance overhead of this feature.
AES128 shows 2.5% overhead, and AES256 shows 3.5% overhead. My testing
was done on this 16-core, 24MB, single SSD server:
https://momjian.us/main/blogs/pgblog/2012.html#January_20_2012
My CPU supports AES acceleration. I made these configuration changes:
shared_buffers = 6GB
effective_io_concurrency = 256
effective_cache_size = 12GB
checkpoint_completion_target = 0.9
max_wal_size = 3GB
wal_compression = on
I used a scale factor of 1000 (15GB database), with this invocation:
pgbench --no-vacuum --protocol prepared --client 32 --jobs 16 --time 3600
I prewarmed the server via pg_prewarm and ran pgbench for an hour before
using the results from another one-hour run. TPS was around 6.5k. For
the default shared_buffers size of 128MB, I see 7% overhead.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
The usefulness of a cup is in its emptiness, Bruce Lee
Attachments:
cfe-09-test_over_cfe-08-pg_alterckey.diff.gzapplication/gzipDownload
���J`�cfe-09-test_over_cfe-08-pg_alterckey.diff���m�.�u� ~n��
jG������*�x��H���l���{����oE�� Y��s]����#��
-J"����S�/k��z������W/#�'��
1���'�TK��q����R�3��_����_~��|��K?����B��� ���������_�_���_���?��_����|��������������?~�����;~;E��C�a�_� J��������_���������?_��� �������_��z����������g_�w�o�?�|���i_��e|��_}��'�|�������w�O��?����������;������{�������~�W?�]���[�o��x�_~������~��/>���z�������?�]���������~���� |�_���7����|� ��T�?��~�/��������M���x������~>�K��v|��~1~������{��������������_��������?���|���7����������W��.�����������������������������]���������o��
r?����x��1���<��W ����� ��_����#�__r��~�����K�^<z_��_���&�������Z������������'��O���������?�m����>�������s^�
���?(w�r]c��B�Y[�����'��g�����X�����������Y��^�� ~�����������?����{?��g_���'/?�_�����o~���_�\�>{y�~�n}����_}�Y�e_~�����h�|���������~���[�M�j��������'/����g_����|��O���_��_�����/������������ �W������{���u�>����U��-� _~�[�����/_���������������\O����_�7_�
\H_/����������.aM?� ��_�a�^���������S�lc}���e{���/�}��}�����w������/��?��O~���������������79���y������g-�?w)��y
��n����������{�� �n4/2~���|�����~���_5�������|�m� G�g��/�}���Z~��K���/X�����?r���O����}��UyY���q��i���3�����W\����~����������������~����7,�K������o���9�+�.Wr����d+~�����/?�"�>=G|������o��?8��R��L{��d��������������
��?���'�� _�|}�^�'��3������_}���v���|��/��_[���� ��~��������y�������?����=N�����G���/)� �������O����~�B��q��
�� ��Ec�������|�����_z���|x��'�(G�W���C�|�k?������/� ��ZC�w�gJ���P�y��y���x�y������s 1�\�
���G���������|�j#>�<b
����:�o����5��Y�����I����/?����K}�����0�l�>����������?�����O�������s����M�������������{����s���y���+�3�v�
�;��/�S
��L<P�V�F��|�����
��� �Q�8����Wh�g_O\O����g�t�v
��'gZ�~�)�������Q��k������q�
2V�%\7��u G�O?F?V:���C�
�"?3_����x��X�Py�<Y��S:�p ��s�'�u'����y�����~�v�z>|\j�\+�xf ���m�-�
����
s�4B�A:��;<��F��<!\�����8����a{}�8y�u�t�5Jo�3�����Qf9��Y����?p�n���r��.�~�-����X�~G\�
)�Q��>�U �HWX�f�J�-\�
��W[�O�t��l��, [4��Z�g���V�J`��/���n��z=9���u?�\7?�j
\�2�u�e\u�s
nzh��|���/��U.^����p��c��� J~�k>O��^��z����x��)���2��
q���K���"���Vo�� ��8���|�q,�n�OZ��{���������
�6R)�J��o���VG< ���l�;88�wa
������N+�;�|����
^8F�z�����5b:x�Zg;�#�����������������|����q�+���9�Y����v�����_�u�k$�(s�
�7
O��s������:�f
�>��R�V���,���
����a^g:YV+��0`�����z$��(������=�L�t����kmG������8����W:�����1�lk�
Gj�#�����
�3��
�9���[j�}[G��+{p��4Oa�3���j�� �X�u�xr2��T5�^Wl�����
�"��"[������v�|[)��c�Q
u
��i�
�������x[,��H�����o=����y���Z������Nl_�-V�T�prF�ed>����r��h���� cV����n
�����<����|�v�1w{�~���1k��c����+
������h�F
c���q�n��u ��y��_��s��-d^�H��p���U0V���,��8�.6v�r�B��� ��r4�����y��0�8�A8g�k�+�Rg��[����>���Y`}���y�UX���g��y�z�qr�
/���
RV���i�.���]��&G�W�g�Tq�3��W�(l�q���������U�S������W
��K�+b-1�������y�Z8di
7���i
L�V��5v8�z,��y��Oe��^����
,>����u����)/��2�)O>"sI
6 ���}c3��8����o>�5���7�W��-�%�
G
��Z�:��`�soN����]���Z������������`a��J+�9<;����+�
���(n��p"���~<
���Q''
��95�_�x�����R�F�
��,����j�19@��=_�-��gr��8=�����QR���2���1��'���������
?Yan��c��u����+�.�:���S �u���
W�f=�/��]��S���.������9�����,L4���L�mK ��J&������KG�k�^�k����o�2k�
x2�l`Q��
�2"�����l�
�� ��b�b
�[Vc�����u�h_�s`�����c�;�������.
�2~
+�2c �s�aYl����w+�2�����
����������0*��#�Y�5�%ag�������g�^�",k�\p�
g�O8���~r�p�G� m��s�|I_��^�eC�`������~_����h�Rp�����8OL(`l�[��������m���@���
j��c��2�q��W�l����0� `>8<
c��
��
/����0h^
�
��<8�3s,�����^����3����`@�p�<]7H�3���K�
V�Z��g�X�yqf0���C�1���\Z��:��z���
�!�c.��3�vW[��>r�o6�
P
��T��("���
9q�����i^�.�K��,L
� �
�Xl���>
l+|�`�x���q> N,c�
l�W8�-���\b%���@X��n%��Y#
gLD����_^kV�,_�p�]��a��
{��O�h��y��w��v���pU�S�
r �@3��7��W��8.;���j-�
��+\�b����o).����`���?aX��|F��b3�t�E���HX?�c��+-�D��
�7Z���Cb���`�@�e_
/�1f�ArLleqG<5����tqQ��w�b�O��G^�%�
o�&������_
�(��s���.�Z�h��4+�7��
X�
V�c������l6�v�IWk���a����!�,��
�Y
��S�$1���#
h����D�<4�7V�c�m
�F M����B�L��0��
x#��:;]&�
��q\��%X��`(������w��@�N�j<������c�� ���@�*g��L�I=������GcolY�XHO��V0?������\,9������~��f������fUFn�9P�
����
������qlY��np�/������CJ"�d�(����O��*����i��Y� c`^��(<��x�+���i5�A9��e\gL���
��x�{Vl��������y,�
�����CQ/92_1xp��
V��� ��.�H�p"k��[��y6����z���s����sp�
oye���g*�0�
i.�!��;|7dX��?<����jq������
t�Gh�[w�
��RU����u}@��H7>v�8aP��
:XLj�A16���-f'V����N�f���58�:�\
#�:�����F�|�
Z�Al_���+������!�d:��� D)��NH���$�I�>+���8��qc����(&;v�G.p#�����09'��
������c��<1��F>��� Kn=�7�S���]�!�%���*�D..Wx�v���~F_M�;��
�����Q���c�`x��cl%�%X �������������x�P�#�f�x����'�Z��������G3a����l�s�tqFnv
����=������K�4�
v�>_c
�N@p�B�v
���O�_a�E��7\;>�������U���YMXC:�������
y�X���@
0�h
8V���)��Y�^p��-��|��2v�v��;@����|w~����de-����������
d���r}`�� ��t��-�<�d7�&�X��`f��d_�ca��|�Vo�+��ee4
rn>�� ��\"�
({���P�b0X�C�o~�`���������������/�kN�Ws�5�
��w=��
���Bq���9�
5�
�>����pX�1*H�����@�O���$� �)
7L+]`�����
u����:'�u�#K��y5v�
���Q����'�Pl%�8�� l\��� �� ���0N��-���?yQ�!��u���cI3��� ��d��YbN#t����A��9���vI�a
��
J�Q4���(9���� �������9/���! [���t�5, �2����Yr�-
��Sh���n�
��\���+�4��� su���7#�������G��r��0A���
r���8,�����U���Xq��n�p5�}5c2
��S�\�
�:���
L[�Vrv�r�t��� Yj
��8$)-'�h,�����
fu���W�1`�4�@����"���|p����)+������
�>a��e��Jx*
k^�0�
8�������{"_���PX^�<$b\�G >`
p(��a�C�0h&�h(���������
O�4���������00�:����j������eI��<��X����'6�G���\~P>� �L
.��ip@t��^��`YP��v��A<�{ �H�}�
�xt�;%6|k������Oz�Zx5|��d#y�"��xc'�H7��;;������Wj��N��*��h����mp/\�S�9������ ����
�6D���
���.��9��U=���@R����������BL����q.8��5��(cH�1Y�6�@r
Bv��^�_�w
Qa`�7i,r��`LQt�R=��}����/g%����"a�O�q���0���LN��7^��<��U_�/����� ��-������r��@Y\0h.��
�3�/����VxR>
��?H�����0F6�o�����/�=k4
"@*��)�,F6r��E��d����*X9�@��X�e���}U`����2@N��`�,A���,\����B
��kt�q ����������>/I5G�s�EM������Y����a�7��
;�/����3%N�����@P�$�^#��+�
�Pn0
�s<0�[��Q�Xw�
c�SL�M�:�Wd�qB�
�-<����Z�X�{�h��Fq��
���w����a7���P*���������r�H��0����0��8���/i�
��(���x
<*��u*P���sWz�
��*��8{
5'��'W�O��������$����g{������]8�_����$���
]?j����{�N�wl��������e��y����c�7qir
Y�M
�x�z`"9t�������C� E�D��"��n ����w��e`�|����
�y��
fB�[ye�"���������p
pK@pK*�������
��+o��
|G6�b�x��YU
�|��y~]!�[P�Z�p�c�c9�AP{��S�G^8�P�����b
_r��X�'����j�����!��F�����5Q;�
���T=��K�9�����
��Cq7��d�sq��ye�)�j
c�
l+����Zl�=�X���zW��
w���1��
3`�E��0����?H�<
����E`$�[���`��4�99
�}�
ld?����� �^^!�k��'�8e�z���9��
nZ]�-���q`����C�20���LxLsO
���
�m
��
K)Jg��Z
�������<�
�����
�2p��-
����4|s����l��Uv��u5�:@����|6�
��nA��|}�
f|s�?p8p�E����"�X� TH
�0��zP�����
`��L�>�qJj�D�b�np����\�
@�\7_�y�p~��q�
~
��?�+����I�2> ����h��i�� �j��nhR�
�0y
2L�k��
��e?���p�����
X
�)��*P=������V���:3|#�m�E������'�
-
�+��)p����I�8 �p4�V�]��8p������_�5�
D�O��\N�^��r
����
,��(r9�lg����S@k`�v"pg��|0�
9�|lK�
��8p@@��Sc�P�sC��
P'���x.X�m���M�F�]�
�r n��{oX�u
�����%@?@.�����/���N��|k��|]9�������������J������
����SI��*�u[ c��lk��_Xw��e2az����LSG2q
�����<��
3�
v�b�)�����f��E���Ll'>����Z �1�
��Ol�����1[p29����Cz�It�
�
�.���r74��o[��Kgp}=K+\��&?�}���
[�s^�3����~/s�����U�`��xa
M�_��br��Z�������U
kb���{��[J����$G��-���,njX�
���e�
e9�4� <jy������s}N�W8q�
�d�w�'�p8YcK�})V�#�De\�
�?�a�vcMqs'Nw
|�EH<��c�f��N�}pM�;��v���N������2h
Cal�v��U��[i���O�?����ze��p�nn�����,���l�y
�%��t����Q3|D������i���8�k��i\
�
0���]h �;�e�x���������!ix�>�3OtC�t��,|��%V�0�(,�����&��
AS����Z�Ry����i*
�t��n�u��OZ��~
eH�1w�,E�yx�r��
f%�f�/&��8��2 ��
0���:�u
"5�}����o
s��
�3tE�.��sV�����'���-O�J\����6�(=������law�c�
��9d���
�%�UGd�3{
�{8��aj|^
��
�}���s�L`�%�w<�E�.g���qA���Z!P��
m^{��g���ur� j�sz�>a�,,GL`�
&;��E$��r,|>P�x��z�f
(�T��� N���1���r`� �������`.��3�}��y�5����
Q�uc��5�:�8S}8�
/`����
b�-Q~����U6Q�5�����;����$3{��
��}�y�:f��:��?���V+=�?����K���y��a1obo<{���X~ �����oC�
�w`9��
S���h;��(*����9'�?����'��l�i�&n�h&x�Z�O��?
�_P���(��`
Dg����v�����L���0S��,��~ o���0�r�����1���`��yb�
��c�s����p��RZ���o�2
�� ��M6�8%>h��'�'�����������@r���T*���r�� ��1�
g5-t�W%-�\�G����b������/c���h,} ��i"���i���iZ���'o�a��d��@g�x���M:!.*L ��@ap�YJm�����
l�c����T�F6"
�e��A@a��@8��S�a&�`�#lt�[�]����,O�P��]�Q� ���j��N��`����LQ��v
@S�yc�f�M�� s�a���X/h~�$�2��[Dk�a�S
6Z��aY9K��9��sVcj����Uk�/\����H���g1����e�]�$"���W�#;8�09������L
����f���)xQ������N�nx��3[�"2��`�0�t�%�b]�|D��:
����P��*������-�=�4�;��a 1���.��h��[M��/�f�^��'p��Y� �yC�����
x
����hqy-(���n�
~
N��Z�d����1r
���
�r}
���CY>�|���`8
K..6��Y�W�K7G���^��Yy4-5��w���r�-�<Mh��5�f�B��8���J���)��O��Uq�3�l��e�
f7�|X/�
@�������X}kly�������q�L������#�
/��Z������-�e�7w�Y@
�����-8��e
V�T�O�� R)�f��:K�&�A�<�X%�VtZt�� �����
�4=~7W)e0�
)�B�����Gf}O`
���e
eX�U�����;W����U�����7�:���jER�c�������V���rycYPv0b��v�w����j���~%{yr��*��
: K6qlf��)�t_.�V�L�A����1
�8M�@ ���%���
4
����B5�h���,��S���`��1��q.9YNj����@K.����<�5�u�7u������Q�E��,8J���4��pc/#�DK��m�%��g�g�qq:y��Z�fE�
&���1Z���E�V{��������I�����A��m��2 ��
��l��<��������h���k�� &/`S�3+R9���
���+z���,�%Yg���Pk��D#��s�_[ ���k�S����e8aL�A�fl6�e��
�I>�G�}��������
_�7[����pwW�0�����l�i����
�=���8�Z��U��ox��C5g
�Q�P�x���bU�_ c~�.&Nf��Z�BFzL0^��k
A;��r�-�>q
��pJa���0�i�B+��5���j��8 �����.���+���s����/P����q�&��9�^8L��t�W���T~h>�5����G�VM!>b<b����A����]w�^Vg�S��:��c�'Z�s�j�����%/U�T{��0a^
--��.S>n���d�2�o�O���T�� �j �v���f�(��g5�l�|�B<��X���Dp{�
9��������
ep�O��C�k������
��
��
����
�y�/y��
,��)m�Cww���v��< >����s��C��������������`h
�k��>!`�[�|l��-�L����2{�Y7}q��g
�v@I�k�cj^�\��r�r�b��F��m{n��
��2���0j��D�z|�C=�u�xX�
�������0��F��
�.>x4��S�|�I�����
�@��b����
y�
��B4Vl��]����g��q�
�b��
��'���J�� L� �{��l$���xL[L�pU����Jz7���.�U�y�(?���Gv�l�5�
X6=c}�y[H���v���o8�#3����%�&f_n���%sr
���}<V�-��p��`~^6�1�_m��������d
���=
����{����5E,�;����0i�&��|a
.k�X1��(�qJ���"�ypFA���
���XWgj ��5
�kK���
���
��C�xze\��;��g���4���7d@ v�i��5
d��
�P�n��srX2
[/������M
�+�82�M�8!�jn3�3D�d��`iVs��d�cD�
�����V'�!������N.����4��V:���3#���
$h�j�������%�
������Y?z� �bl���OSz"K�@��h�Tk��wZ��o�������oNl�U90y��)�8�8w{/�{?F���5���s[�8�X�!
�s���<��=b|_8�Vc���<���.���d4A��w{���5V����>b���LY���!�n�}r��t�RX�f�L�6
q]Yw�t��Y�W�2�+[[1X���V�,3�@I0��'3�`�)N�`/=9
�r^''���<�V���������V����-�������O�
�m���>R
<�� c������X�����s�i��%���/�{
Rg
�+������oV��<G�7�Xm:du-�qeKh�\[��F�o����z
���i}�)�e����������
�i
��~`#��sA>6���
�v�fTS� |.�b���cBN�5�H[�7��v\�-�B�cA#�e
!Y�^1r�k� *3X��z�x=[��;Z��%����$~�
�.C�K7�q.��)���+�z@\�a��
�8p7\���_�A�����*��KwX��7)�9q��
�����������-nh���*����4%K|��k���*t��r6�w=��Nf,@�8-k�8��:Qp�i����T6Ro:�u�+IG�
WX�e�
�����>�
`
W��vx0��=�$r��I[�(w�x�f�#�
����W��`�����*i���3��jb�`}k]�$\��k�!�f4��-���� l�� ��<f�
�d:8"x�}����J80`����w
p"������"x��- ���
���
��;��+~�r�����r��[ a��`��N
?��� a�?6/�Hy�f\��`�8 kt���F����R
����@�0�)c+��������Y�����(��e���7������'�q9�kp
0�y?�5^�F1.q���5b�8����������������jM�i�\������-0�ak�}���j��O������*,��X;*���a���1�
�uVY�.o�WK
G���Y8�l���p�
�
��L��
7�^PO(t���
L:x(�
:����\�cI��x^ek�`)|8x���^���_��?Pl�cf�����1���+a���K������=L�w7���X:`:#�r������3�����
e
�)Y
�FF�VE���_lX" �� [o�kY����y�
{]w ���������L*WS[�
N�����S�D������s�!��V����a���$�5�1Y| Sy ��]&����w���8���0�����v�3������"v�XZc������
xr������T���>�,���������Z
��cFk�`r�
X��V�������� ��
�nO�eI�����Sl-��&�e�G���[���G��`
����jS�e?��}+w��S�tx
�a����
���@g�V��a�q-�?c���a�����:�� �VJ�-��p�3��8(@c������}�s+��el)� �:W3kI��ld^�G���U{������p�c�n4?h�T���uw�e����W��Y\���{-y��8
����Ol�i�W�����[>��ba�1��[��)�S�����o� ��
h�s�-U���eweF��g�=��L�;�{�i6$X��
�F��� ���TJ����6Z�7�^�
��m�A��>�I���<
Cz���F�
�� �$�������3
�X�
h
�r�l�����=�X����(�*`iy�
ln})������� �*��1�O�-�;�� �"��Y�����X7�#x� v��#�������94���s�.�7�:��
���+�Nx�x�$-�m]��~��]��]V�
��S�H�`
��%�M
�p�d|(h��*
�l��[�c�J�@� ��U���y_M
{/���� ����8\�q��Q��X��*C�+cK��b%E4�5H|P@�x-�m����bH4Jq+�S�fZ���
��
���eH����c����
�=X@���8�d .|_W���m�����pku���C�i�p}�9qK����1<e��AdX ��N��`��\��$E��
�7k����������3N�C��k<���
�ec+6�x���%�}�?s0� E�B_
�kS`�X�N��W
L����q��a{��-6i�4�o�&�/&��\(��c
��;yA���\����^>��]����Ws� �Fa8�D���c�X�]S��|�6W9���
_�T���� �V���'���
�}�j�M�5���
�a���^��Yv� la�
�yC�o
*������������
}��B.�\������f������U��
,oRr�Y0hv;
[�.���N0�h�z�.H�"2��x�&��H�l��}R7�l~�T����!<��.,������Uc%����f)�P��i`��3@��~0� .��aHP���+����K)�=�
�Pt��M��d���������
W��@�8��=qM���
�f������
6����
��
�7\����������a����:�~�hk�������5���l���x:���R?r �v�
Ly0kr��llT�{�6s������y��M�= ?��
\��6��2�;8��
`����)|����F�y�����cF_oc��*���_���u[���������Pv�����/���&��8����?�~C�)ZK� V�����iVq��
5�k ��|/����$��<N
�����k�
��'PE�|�_,�U�7 '��>
,��2��h�����
�%��������.
�y���<�SY'��c����/3K�8�������VK�_�a=�v�4���(�a�!�m�gp�l
+
��A���?��?X)R������d�V4�4��@9
��if ���f��i��N�����������=&_���T������dci��rO�r��K�-N
��*���V
S6a=� �0q�1���u��3leW���r�p����5 b��z}��;V����
��/�`1�
=�I�bl�{[�v8��Ann��m��j�,Hg�b#��|�R2c���pW+{zN�Fxu���������L�.G2���N�<6b�������^��0h���
5c���0
���mf�������'C�
��
�w�\d���MR���s���^`�
M�'�����[�a2��M��Ko<
|��&H��r
z����[�h�u��A����u]|�����L�����G#�
��
�}g����wY���
�1�����������Q����������l}�>o.���8b�������V�����
{`��xV��=v�5[U2�F
v����Z��NC�P�)�5�����
�f�����6%���� )6�
_iB4�v�
����y����������kI�x��*c��7xd,|��ii���I����V{T�����
:�*VP���>|g��[�S�rlu��T�t��]�
n�"s<��c�{�k=��a\�m��i2�
O�}��:U�*@��aw�a�7��+�c}��k�H�?�e����� ���/4<�ui��F���it
3��K�qP���g{�c
�3����5{[���=�`s
���� �^#��w:9�'��Zz`����T z�_�� ���w���n}w����us-���hvP�����_�`����
Q
M������p<������[H
��+�����gXl���`�,���)4��6c}�:D���YA���n����n;�-��y��
��@;0<��Bq�� \��yX��z��CP�3�����Ol�������Lo��D�hJ������MN��NN9NjB`���w�U��3���X����J�;N����� ��P�� �l;lB�SH����y�n��t+�
������
Z!
�@�H�V��p��S�H�qE�<�������E0D� ~
=p�#���.(a�f��W�C/�$;fL�c,!�z��g5.u���
����!&�3�Vp�A�
�.�^�����
���9��J)k���YyG|
j^��j�ze'6;X���@}�%���������_���n��TZ�,�/�����H�\�,�'X�\�����=Cr���������{n1*@�-������_�V����7m�P�)���
��p����`5#*�r(l���@��� ��K,��s7���Z�i�m��.���5"��d��;EL�
{�.h����GS�<�h�{�����~�3�
-d4��a���@ t�/B �A�`��!�7�F�.>�N�6���S�������%���v.��*�����
��'
�e�7f�~`
�"�s.�v��{Qy��
G]%������������5���Ov
lg7�� �Lb>Vl���
�
�A������L|�a
^��|�N�}������m�L7��a��^��Cm�%f��O��@{q0�����P�c�m/��5��L`k
SAa��e���pU�}>���������T!��*���A�m4+���������q�����V��
����q����S!XoU����Z�`�
8
L�n����;����0y�Gm!<U���d)h�O�����G�w!��
����Q
�~�
�?������U��a����i��%��f����P?-��.��,��a�za8E%m��}�r��� �2U
��vH�����%�������I��1����!������e����1�K���X=N��� N8�+�����FUR��5�r���= ,'v��I��9�W��C>OXY��Z����u
:�K��}��P���n
����,
�V�0jS����������i
��U�����E��2?w��$'U��s*�n:�e����b)0����N������~E<�P�/��3B-"�l���'�RL�����P��6Z���(
�sh�N��0a�Z��tY�d��m�/}Z9�-�8`
I-5��q��������b������o�������1Li�/�o�
��<���<���s b<4�'�VC(]sl��8 ���:U)��4��Y�2
�eo?L��j����l�xx6�3�g��{���]q��H���@Z�����JF�o��cF,)���K����pn���@"_�a &f[�5��\������ 0�R�AuG.(�5�4���.��ac�R�(��
n������'����!�SMx�\�f��6�0
i�;Z�ix�����
����,K���
�t� ��i�T��oO��pS-_p�I�O�6A6�|�C�a
��2��* �@&����s�uN{^���V��p^|y��}����q?�bP�a� c����<��-O��[����du�B���a��@�����/�"p������+=��C��J
{���6H#�UJ��W����S�all�t�2X�&9�v��Zm��Z
�"]v+�a� j-������������&���%� =+��X��(���;C�HQ��r(j
�K
�s��������^�j���X�a�?U�L2�����;��g
��E�������d_������Q�����k`������' �|96�p��h`�0^�%�$a��*����r����Vq�gHRdx�VS�
�&�L�W{q pj6��J��c����?��z��)����A����k4��f�v���l3~,Z�
w������D�"m30\,;y`�8P{��s�6WU~�����?VW��u�:�S�X*�������/
��� �:��u
�����*����>-�J[�
�I�J��1
���4 ��
��~Q~j=i{�da���D.�
��BU����Nj��@�[�hV���f�#�-*f��-�s'f�a���p�3L'%�%��GW1�q��i������7x�q�Y��
X�4��"�d�)���O�f}nG�� L��
��f4
f
��w������N����H�A�R� ��>��^��V�^���~$�e����8,��s��2�� Ef���R���,��:v��`������;�����(
l�1���<������J
���|�����@[���� ���-���W�r�����b�[��R�V��\��8
5M�������T��k�&B~��:��D,"��u�M�e�sf���+���G9�s��o�j���%�o�"�g�l�H��m��{�pAj����i�e�MUa+)`�P
�U��)9X�W����i�8�I����Wg
$<�R��p!��0jmm�9>��i
���O�M�(�������U���(�Y.�h�KO&a��J ��8?
����6�D@B�.G�
�L��G�7��Dy[x�XO.�i���x�k=�E��aL����?��.3)5$�g��3Vc]���T�-}��\��S
M�����o�bvd�3x�KQ�Y�u;�8� ,I-��
Kj7�j-h�3w����:VX�e��\������,��
�0��������rz����N�S��v�\����i �Z�
B{O����/��v�����
�KK�����'�l��:��=�T�fu��-�8]v!X�V�G�%��
i���%bS����gE�Thy�m5�3�z\l���Qq���������+���UQ������h��a ��%�
$U���n[_�h�7���[i�������C3���
���P�������3*�Y�l
��"�}��(�����Js�]qI;a����b��������$����K���Q s�NV�.x��E�;���` �r� �7��53�<���v���.���o���f��8���s� ���;A�;� �T����c�(�cHN7R��"���=��4�X4+�����6L��������_�������`J��e�����a�
� y��N
lp�������3��*<kFw
�2�S���|�J��E1W'�A���4�������H�n�k�
�HU�:�V��%'���|������N�)�<d��H��XMp�<f�Qdg��lv�c����A�
6��X�p��
^��P
���@7�p:����p��b������Pp���hB "
[pm�������X���^��p��j��7���8'G@
�&
���w*a�Dr�5Wbl
x7l�l���b=����L{w�p�8'�V����-l��_[�K�4�+�X
�=X!jT
<'S�����
��Z�������4�x-�P�m�*�>�v�n�
�p"?�u|�`�z�*9���,,��j[���r,H�5���9
&2�fMm���������(�m�V���E��a��;����q��u����{�x~�o�N��o��
U_zrlO������\��v{D:�����5�S��,&�D����$^�p���p���+��f2q��As���plZ���B������ �z���lr�����W��E����r������K��p���7U5E�
���d�q�*[�.�cx��'�����y�!���Z�<�u���eph���@� j���vy�����.��P����f� �kB���S-�
���K�b1@�O������w|���W���y�u�$m��mz��8�4�
�W����!E
��.H����u�a1^>�N@���1�|��p����v
�`U��bn}
��<���v+�[
�CO$��~
��8�q���a�-���*x��M�7_�&i��������'; ��0�])�1gi��iZ��MQv�
T�����J�������a�8(L@���4�p���n�!
�����\W�p���8�u��@���:��v/�������zk{��CV����������Y�\�����`�������wmt
Pw�Ow[� h>�&}Bn���{`H���*&�=\I�������l����Qn���
���[s�RjD�C�Q
��{�8Xi�r��\�(JT�L�p��S
�Q�
>N�F�c1���*�@��yqh�N����\���wZ>��U�r�8���!
���[�7` ��Q}F������R��Y+��x���
���[
��:�2��b#m>�.��<�zyoU����{�4��a��y�fi���
%w+�T��/E.��
�Vw���D�)��B&�Sr
�"hH�?���$�%���Ii�S��`a��tg�
Og��Z����,��B�]��1:�!"?���������X=�J�VLC[{f��[kk�Um-x�
�i��j����B��
� �����d3;�A`�{�����������X�Z�`sG�2\b�_=u#��N����&)�f2 �
>��XF���#r���s7>�J����.X���wT�
�Y!U�{9zn��l� +#��u\
EF)V�mje���v#8����X5E����R�%[����
q��-��E������
z:�j�*����:�P#
�XC��&��d�>6Y@�e�Q��~0w�t�,�)z����bo����qW�w������1��U�Xl8]�fg:���i=�Q?P*�������;{���<�)�,�V �*-i�=t�^lP2��X�/8��z�/�W:����
���:O��b���������#���=�34 �#�0��hN[�D�.X��L����Zk{�$'�<
���=�&�Qd
�3�n��Qw�n��sh��s8�b�������C�N���S��P\=��=�tP�������A��e/��B��z���
��t�K�*<�
��Xew������*�49�P�X��>x�j�u
�9�� �3=m������q��\��������u�jc\(������07[��S��
u��J�$%Q1���b:�c�k�{� �S��SQI+�
]l�gq�o4k�Xj��G��y�M�8E������Ok$.�Q�3u
C*FK��<��-!��k�Q����W�����B���a
��8
��V�[uD�%���
<bZ
��9W���N�[��1 ����q�wQ`�������b!3r��Y�P��6��r���E�������6�W�b�0W'8����a'h4����U����ttn�)>y��1�~���M����a���;5/�;�����':���Gz,�8�UpU��A\�. '������,�A�5u�����P'-�9�_���U�Z8����#'����BgL�����t%���`��
���s�zk�[zra����r�����
X��XBvd�\D�Q�v;()�+M������fpT���=E�
p�jH
T>N��Ie5
x
�b���Clx�Xu]�z�����-�F,
�\��5{�gp4S�iH��� �p�]��AH������evg�s�*4��\M���`
�0T��Ga[��<���C^���b���S�U�(p�����ll��p�K�U� ��*��NM
p*��y4��<�H/|d8�������l����/�8��s��'��8���6��
�_(]�����ZUJ��4
� ��FP�sv��l�SuV}��
��PXy<Mg���r�TN�[�W��)�!u�+H0F���rK�
��R�N�����9��
�����u'���������������<p������g����b�n7}��{�a/�=�T�4??�
�.lO%�z�s�Ot����~w�!�x��((���������#�
��i���SDQ�b�����pA=?�
���������
B 8rK��6y��u�`/�p���3���
v�sO��5j9C�K
[������M�n��\z`+��s}�����Uf/v���
^M#~Z����Z?3�;!}'~z+��>��F��@Pl��F
��\���l���f�L�������k��x�m���e_����2V
�{T�w����an`�a:�Z�M���8:/j�� N�X�ZZ�Q���Fqp����yJhtg,I 2P���p��\(�
�`���r���/���P��������`���
?f���U��������M����?�>
��.���%� ���/�1���:7�c��6@P/��}��6�}�L��`0v-
�dzn,b���-4 �/\ru���8'+il�QD�K
�K
A����X��)��|Pg
���?Su��qkS��:M0Y�HT�
�
� >
�V{��r�),
�U~�4�U��}U�U��� �-� :��X�z�0���mC�2$�
��r�(e���;��4�uCN9U��
A9�Ck�B;F���P�ar#��}ty:���h]V���`��q� 5fym���}b���������E�u��c�.�2��1mr
)=V�u��k�
����V�N������u&�C�'� ^^y;e}��������U�����)�]^:Mw����D8�H�[���Jm��y<��%%���H7d����0`kc����u
�c����K�~�������pDE�{'`r��X��� @tG�f���������xhG;� ������!��
�Q���o�`������Qd5�BL�<��zW��9����� �#hLV�<��-�s&�
����<&\��[&SyUmG�Yjej���lr+��C%k�S��A5�c�Q����i���A����K&�}B5��@,����
V�fv�X���b��
XFq���K\
�
�(^9�J����C�f�t�[�a�'13pE�tB��X�CJ.A����
M�,�)*
j.4��[���c�����,��Wo�5�`�L:OS��}�����������:l����=��;
�y�=�w��zr�9������x�� (>�S��h���
��Hg��rbG��
J?tG�:��2���=�����u��:_:���p�=����*c��p����� ��7����f�}5�UfF��]j.� :[W/u[����� ^��K�9�a ��]�-������F�A_U����U�T�����3�
���5��p
,�|��������<���ai��
K�
);�EXx��,�v����[���]
Npy
RqS,^�G��a�l�4��Gc���A>NSx�J>0
iu
��:$Z
�nX�!k�F;$�{���|��xD�A��I����Z.��0�p�2��#�1�-�S��IJ�c�O ���^1 �x �j�>���c��.��?X�~���m�wpT���O�����b}W�V]C�\RK!�<�{���~\����p;���cu
$��V� "`��(�y�z��zo����*��������|^�)d���&�'�uOV�(�b�
_�O;�Y����I�>��+�
��vB���������Zq���5���o�s���������'���P:�_�jy�#_�V��$
J%���{����;�G�����=��c���^�B�����19���v��"��t��=g������8o]����#:�v��,4���,���3?������z���N�q3JlH<� m)����
$
{u�z��&������w�tf�=�Y�xV+5��O�8�T���"�bU��t����]q
Ay��-�7�
���cX�������g��0�}�K}"0�=��������t�J,����3�����[I������xL0�����N���s�ra ��5���+����/
��i��d+�:����1rc_��Z�YeBU��H�z6Uk�+����#n�}0
�����+�}.�U���B{jr6Tn5���f���U��V��
���b�I����Y��G���
������Z�hc
\����*M�
�5yC��Lj��v&��L:C�w��}��8aSf7���s
%��� K���vc�KTdI��19_��6�|�fv�d.I1^]>�'������ld�9�jE��D���,C��L�o���jK��P
;��N�fd:�,���O������$Tf�j�*�wtb��@N���x#�Yt^}SO l[�N �NN��*�Tc�r
�K���[��177���r�4�`��%H�5�6f�c���~���Z �h�
�W�4*v���
/UH��8��
���4s!
������*
pZ��3��|U�:
�Y�;[d�
U�q�,������b�q��*�n�a�X#q�����V��9�x
g�:p8���������;3��b(
L.�s��5u��jNx
��6�b7��<�^�<��d����'�T� 9�������8Y�'�=&�T�'\�]�V&�4�I�
���sq&4
���MW#B$Q���zr,��
{��s
75�
?�!^��\��wTp��A�?����A3O�c��J�RXp
�P(����
�
�A�V
^
F�v���U�}9�}
E��R|����h��K�u8������-��Wu��q�����R�����Vu�cr��1u
(VsZo<�
����rg�� ���@�^�b�v
[��Q�g���4Gz:�E��d�����*�W��p��CYsP
��u�X-��zX��-
����!�0%mj$��j<F�w��
\F ��dNyat�Py�sj.XJ�����Y
�a��������@�d�J/�����3Q��X$7L���C^�T�(�V2�T$����X���������d�O�0
�u��{t�x ��x���+�9��w�~�5��J�a�����;$M�mg�����STT�"\���h����������"��;V������~��� I�6�������F��A87��aY�
4�p�`9,����
�����/;wl��mD��A�l�������?X�x���
9�k��{
09n�nO{�h����Sy�����
<������|a�&���xj,5�xi���>�-��������e��^C�����Xw��Cm"?��
���Gl;
�R�'�_p
;��a�
���f�^Z
���P
�i]�U3��x)��MI�=5e�����8�5l�����o�i������PAdK�,u��*v���[Gi�Y�8D�
��@q�bXk���e����C�
�����o��������2�������D�e�!&u;����=$M��*�-q��>�`I@ ��b�L4E�
�9H����W����v�����]%�,��7�^�)U��,���hS��/{���w���
����6^�
�u
G��O}`H�[�a�f���v�[��Sr��|��y9������p~
���a
-''�`����E�t���mtS<�n5o��y�� M����
i?�.'O�u��9j+���������` �D����a�����m�����1z<�����1BW��o5��R�{}X(T��GU�p�*�p)@b�1���
����!���5��<���1^���=�ae3�Au$ ������� �����Z{���bk@l�&f�n�D[�N�j���X�5@��
*\(��
v��n ��������dC2��u��eqI*��-�~+�t����&5x~��By
��j��+{�CRC�TD��
=�}����W
�V�R���`��0r$��/���9�Q��~�����n� ��Tl��4GV?5��j
���tUK\�kYjPN����J/ma0��[�>�%m������D��I��u:�a���q����`8
eq��M����Y�q��-����
�,'vZ��O��\�{'��XgUE
�cBX�[`s���\�������83�m!z�<���e]0�9I��=`�gc��1�gq����W�,Y%����������x9[*b��eh#%
��va�zk����z
����P���g�G�
��-��almi��*w�@��(Iw����*�Nu�S<-Ss��D ^j�e��s%��-j�6|����i���M����\��r8��j��%
4t\:)�Y��\����p�:�x��i���J� �,
�a<��pl������R
���5���
����Q9B
��R����M-s.�����l�!r�(s_V���j���h�������d���-�rU�,f��Ag��={�p��#����
q:i:Z �>P���0�?G�P����F��O��hU������ ��v���g�s��qy_��
�hV���b���
�wh5��
���r����
���r���G
��,��e�I�4#I�>S�N����v8��U�N�p
�u��H]�qq�
6�V
�X��o��c����b]q�s�*�%�)�gV���b�[4�a����_�
�$�
�b��sP
Rg#.��`��-����������?�o t�����3����c-N
Y���������������
����X�g8������=5h�T���`A�P+ ��nw�n:Y�50Xr8��;(1:Hg�����
��k�id �d��R�V0��a��(����|9��CX��D�b��w��\RF��.�m�nl��t�c�c��wr���mN3��&CV���-�)j�I�,�:m�T���]q`0q�L��P����2%�����!�BO�v���d�T�a@���
����=����Gq�xW
|Yk�����Q�S�����V�!�6@^��;V����\�
���y?0qj�? ������
����f��U�0������e������>��f��I�j�H
��s�q�O���]v>Nx�
���/�
��2[����w�^+����0��Y�>�
����Nk�0��.����XP������d]V��C�W[�\�~������|`��;�QJS� ����wu~
N
La
m��7{����8�&��x�e}�nm��
F.�d]�WK5Zk���i}[v�mj�&�j�#uL0�8"�Az����\��L�6���d��0{�1%*���#-�]R�������UO�s(��>�
t��N��y��m[U��Ej�9�D&/
�+DJ)��m�p��+�H�Bmv;5)��Y�V2>��"St�M���@W�s��L
b���&g1��p���
\c��
�N���������F��
�uV|�r�1k��z�E�<�Mt9 F���T�Rg��Wp���T$��1�
n9hM������lT;My[��pd�R1xX��N�
�Z*�j� �v�rz��d�����xF��m��oGUU�+��L.^���q�`��$�MN���<�(A�&��8�'Y��l��Dd������0q�7
�udUpw�V�i�.�
��]Y[`�����<���z����E��6�X��A�v����i�������!0�& ��
�������j��IJ�~$Y�����*��� �0D
�
�YEoF��T���
�Z��
�������-��l(�����v���S��U�G�!�'�rr���
�[�����5������5l�M��Q>��=�e�1
�����ft��������B������u����4�g7��V������b����0
���M��K}X�c��������a�u���EG�'�C%2U�
���������{��i6!�bh Y��qq�) �
�
��4��q���MH*
�}����X:�T�{4 �m�~����������M��
Wh�� _s�����@VI�`%.'�X���;m����;� vt��m��,
�7��VK����y;��B�"������n:�n��7F�� ����p�����1j��t;����Iq�����3|,��z,��4Z��� U ����u9�,3� ��(+pr�xZ
(����b����sOER�[���Y���w�
��������E0���]q$�5Y��)���40.W��0��L��gl����o����|�pS�tU0�A�I.�a�?��#�
)�<LUebGM�/R��,�l����=
�L"
5~��5��r��^)E����l����&
WJ�6�����J
N���
������d����G���m���R� Z,�|��z6�:S"���z�kpl
�`��s9��`0m��,�RU����}�[��;
��*�=X�V+k���V���d�F��}L�}��m��������lS�����
��|��Z�m���,�t������ ��?W#n�w::E)`��&K+!��9���F����X��>j�0wu��'�*
���V�v�X�U;�?����t��~�[h�{����� ir"dS
�����#��o�iO���2�\��Q���HN.����M���Xf`���7�8:/X�`k��>u*U�$�N�
��f3�i�����$��S��Y5v�����������Z�������
AO�Ry��[p��
��`�s^ ���j��T^4p��!��
� j8m�!Z}cH�TQ������.�-���"^���]%�l���Z���
���L�����
N��.J��u�k
���u=�!�����.:0�[A��R�`�8�%������v9yw��������U=�X\���������y��v����3,� 4��2���~BQY�+?�z9��
Z�d2
��
�p
����+�v
hV���>���
d�
��eV����]�2���[U���V��"r ��TRQ Xb��Q��F7����)��89��Kl�n�t�V��M�;(wY�;��T�Ml_SL<+��=�;=��+���O�
l�������%��x{w���W��L�d�_�-�����-,>���
{��E��u�p�I�S����)�(:��U��gG����n�i�
ww �����WU����U'�a5ZVB
3E
��\A��e�[f.E8����(fE�3��
���N���u��A�a��<\������7��s
�k�DD������D��#T*Y
���n���2;�:tw�;����b�C�p��������
f5L�(q�NX]�^�5G�[B
�q�;����f�
���pp����!L*(@�w���0������` �
��U}<� J
����
�8L��M�Lz`�n�q�} m�4��~�h|Ou�������pN?���b*�����mYK�����vB��w�|�S��P�A8v��S��a�Y�N��.��8���G��t��3!�Z�w�;�]p�6to�Cp�� ��Tm�e7��^
�����
�b�L�V�Ry��;���TY������=�S��k���#b��E��a]���=��O�a$.�u;)�Y�u�R�2r��+0� � ��
�GGD��Rd ���Z
���mX�RL���
������
�Rc
�c�����S�����LRk��$��Q�����>.6XT�/�
��+��rR�6Y��q����-�
����I18��!I�Km���VZ]��
�[� v��qT+U~��ZX�W�1�_���.DUw�����)p�#_WT��V
6���dk��l68�Z
k({�G�7`4��yF�Hg�{r��{���|��w�����}���`�K���<�����rsRmH�
�X��l�p�[�>��:,y3m�uh�?������;0!G�W����Nf?�#_��d[y����f}�,[�vs���
��v�����&���^�s�������� ��)�; ��#�K���G9����O�N)Cg4�V���)����������x�qr���(����
���
����e��%�S��x�A�����W� �
�z5��rfX)���6e\���cW% �w���9n]z�\9����+��:��
�k�� �a��n��t��2} ��\|5x��`�z���av�XZ�Cg�w��p$<o�?
�m��*U]D[
y���4M���m����`���;
Xj���
�n")XUSM�C�&W��~0����d�6�t��:(Sr�^
0:m����7��a!����F��eu�k�:�����v
K
�7���e�����9�:,l
��Y��M��[�������Wh��
vmC��;�5�0���
���P=1�����
3���;`���5M�<��X)1T���8���E,�R|�Y\�>����=���uX�)�1�
@�RbN�V�rj�F
>u6���N�� ����V�!����E�
����q:
����o1d����PN Xz
���&+%z[{?���������*)uHcP�W1%�1b��G�&q���\�- fNq 7^���E���J����l8�-�d��*
G�<x]0z���^�B5��v���Sl(*_C�
���o6w��>���-N+x����k�i�"��QZ����:����&�n���:����A�R4�';<OEK�*����2OUu��iz6��EEj���������=.������m!
9G�
9YU�zs�6<�M~�i��F����Y���5mY�n���F���
�g�LOQ5��~�Q�`�L
})g�UlfR[l���C�H6�;��6���>���3��P���C�(�QD']V)$= ����XF2v^|���/�
T#��ey��s��� bN���,;8��t>��&5[��ay���O���]�����l���l�RS
���'C
�
4�]m��;��A`C�g+~�6{�VEA���X��9o���t�g^
�V6����M�=r���i��Y��A�gr^C��:B���
�
^I�,����a��~
d"�d�x9�
X�8��`K�%��st���|3��P3j�o��8g[�����Nzr�g�=pg5���U�%5f2N���x��
~>�l� �[����CV���h%r�1�T�vAn�
���9�������tVL��]���2
K���=w�������K�e���jZ�� ��C�N5����Oj�Y��pr��,[
�������A�<N$���2U���[q[U�:�
���j�� N�TK��uZXsHi+��T_���Lnt<p����IXB6g����<|$
?Dk�(9Mg���Iw~[���v<�@"U�nO��p8��#�0�f�4����6j�q����3F�=B
�� ��������������8A���vc����RN
�j�Z���HN�T�������
4�t��V)��YC��}Q�S�Yv�Y�1������[���/K�K� �
T@��H��kZ���W�L�+�������Z���[��TY��uZ{�&�1)�����N ���q���Gk4yv5k���
fU��_���~<$��|V�,�/}��L:�ny����u�.b�ft�$
��������
����eT"hO����G���`��6@C�6a��c����:�B��m�$�������Y�����L<�R{d�,�k�j���,��px(������}��x+s?Uw�x���K�x�+H���/��rd+�N��gF0"��2|�����8z�
Y~/���Q���0���b�P�v
��q�B��85��q�\�[����v�[�Op<�T����
��A���Y���7�
�e��� �B;����d������}
�Z��9����b� �GmsuH�6��C`H���
B�H
���T��X�������������-|E>�����
�R���
b�k
�c9�������Z��J:a��lc
��v�,>�D�����6�,�?fqGU'���P������ �M�ae[��pT��t���,6Pq�&fx��f��K�Lv�W�Yj�����J��E��J{v<QU�������V�
=1V��.p�DxZ<���(�
gwg��c ���n�g�"�f)
�z���B}.�u
�O�����j�A�y
�l�����@��>
�u
{1��s�,A��Rw�(� ���
����UdC1g���)m�q��}H7iwR:/����w^�8M�N�����8�S�h����Bg��=0 m����c4d��ry���C�m
��������S�-/vXm
f�&+B �iV��t�p��Ug�����Aq�K��G��m����=��z`�w1j���#���x
�`����9��*��8vVm�"8�GL�����������E��!���~�$�^�n1��W�� �������������������|kAzy}��/�}��w�W_���?���x��/~��� �?z�^��>���_����x�~�����?����>{������_�j}��������/��?���_��{/����_��O~���j����|�R�}�������������� �K?�����?���_���� �����>?}�g|���|��/��y����������d��'������7
������?�[���?��^(�a��/�x�����W_������) �|��������O����7?�� ������_�������������m�}�C~{��?�/~���{���^��
��+
���}������w��?��?�#~�O��/�/����/�� ���� ���m��/�-��/^����W�����\�o�������W_�,�y>���w�����/������� ���~�g�}�2?���?��}�����z���?��������������������_}��
/�}���m
��'?��_��#W��_��v�
�C�t�^v����
�
�#?�����2~��M���W�^s$����C�p}�����{����?~��~��W,��5����?��/�����x����������_�c_�?s��;.����������_~�'Y��|��+?�G?��s���������U~������_�.;�?���x�O����
������ ����������/��?x}����n������e{}���n�y���]�������o�q��Gy��k���#�z{}~+��k���}�^�����g��������^�/�y��/_���>� <Ho_���_��w����
�����������������{��/���|��/�}���{�>�����o�
�w��o��?x��y�~��w��>����>�N�����
�/>}��;��~��f}�����?��<_�[���a��^^���.� �����%�v��w������~�����W�����w�".
�<\��c�����6?�����o��#�>���?m�}��[_��
�����^��+��W�I�&�
�+�����]Y��.�^��
�F����O��/��<Q��_}��N���c����������zHqY�|��xq�?����v�����o?��K_�w�_�_����:���W_~�������&�8T����{������X�����[�����������{7�����������
������/1�0]?
�����wL�g���G����/���?����_����9��� �����?�����OGzmz�� �k�3V�O9��6Y����BUWUHV�#sY��?�
�����AG����R�dY�}�y�=� v�8���Vo1�����b�
(����g�C"}��m�+��Ij;���gA�\ ����Vr�|.O�Lx?��keDx�i��a����y��q~k=���~^1:��IU�uP�L�3d]�m.�!��*�h�tS9�����*D9���h�t��\Q ��8��82��n C��m��� �,j��C���
�{>�Lu�e�;��G?~�R�{��!�=��g��8L�����#��T��1~4eGf��x7U���3����l����������U��|�"e�s|������(��9�]��m��c�n8���K�yKV��B�y��dDs���;lf ��T[c��R�^����>U�r\�P������TVK��39�@�
���M|��[�w����>��������T����b����$�q;����M�
}�-
vFS�Q� �?�����
�=Y��`Y:�B�%�i��?,���+8fYe����YC�^v������t�����v���U,��c� o3
\���>p���+}pX8�
�O��g?�����.�o�����V���nNQ�R�S����y���+��V!>q�����=F����U#G��FwU\h��9���B�M���
[�X����c-V5�X.��
6`G��$�[�+@����d��P��Dr�<5���qX?w<W��
��Dv7]O��zX�{��m�W�I��
���Ftx��?�E-
�=��a����|������.s4�Q��iqa>�C;o��K���=�[`��}�B?%98c
�>�D�{ N��jPsa��\ ��S������
1�y<����w��,[1��y:�)���R)��X���\��dT/=�:�]�R�T����
���+ ��\A�
.�d��n�������a�??8z�[���P����H��������b�9�x'#RY��</[
��T�>s,:��s��MGh��������%y�����]?��8�<����Rm
*�H��.��(��5��]N��Gm������AlYK���g�GR�g��
q���0c<��l��������?,�u]�\S]�������cs��,�S_��O�u�m���>��
M���h��v������8�"pX�L������m�u������SY�����MYo^>�i��T��!������X��+�����u�5Lq8��
s��30kO�9q�BP�"���UaB3���w���z��]��
�[{l$8��Zo|�:�
��
c�
a�` U�]N�I��Z�����>bIg�\{�l���i���Kt��3�j�g��'u��q~�����K1-t�qyO��p:��F�dF �YN�&��w
PU[����l6��h`
��O�q1�|���.^�K�����X��E�~��������Lw�n6S�vq��;�s
��U� f\������3T�t>9_w<�������V��G����Q�l8>9w�:��R�c�z�)Z1u5f���C����
f��
��%��|,���FeF��@h
�9{� r��]�8j���RRR��+: �i��(���
�
�z�F
���ys�O��a��_N�N��+ ����rt�7�T�4�5q���* �y~���*
EU�U��f ��C��T��c�X�v��4p��2��\
v��8kL�v14��[T\H
G�96��,)����Jz�{p`v
�hw�Wq�bI�q��6
*R����lr���>�r�k��Z�%�8�%��Rdq��9Q�5����:��)��k�s�/�
���l���<�������4�4��mV
f�,�S-NO1��$ cY_�~�j���{��[
��c�.����N��{P �������E�E��
����
�cU���a�-�}���:����:�v1���0
R����+�@��j�������
�z�ryj�sM��/�����M���_��vm;LA
������-����`�Z���7�n=v�[�
��;Rt��u�F�A���CU����$fz�w�,��f�f�
rz
���~�g����lV�[~h�[W���T#��_N����<E�V�=?�wq()��
��EuY,aq��m��"B�#�DW���>a�z��j@Y���g��Q�iK�Q � ���w�8�j�����m�#NxT�K�
���9D�e���~�H��m�d������T�z���1��CgU��Io}�>�_jQ���8���I V,;7��z�
`�Yv�St
���yWl7l��v�j���a?7��>\�hp^��Qe�����wP��� �G�v�~������l4��e����#Y�� ��{��BQR\��]<����S1�+�.5-�<���=3� ������S}(Gf�v�b�����l ���Z��d��d ZTK��@�{(
8��[�q�yX�4.�(���"ZqC
o��<x�
������)���J�������V��y�nr�/�{X���b���yub��,�
7�O�p�����N�T�j�
�z��Zi�H���y@�~T
@QJw
�)j��+�<��g_
�l�98W)����
jdZ#qe�"����#9-�y�����'~�+^��l���m����
�����W,\*��6`��G;�?��W^J�AC��<���Q�L��Z,�~Q8l�51A�%;�����
����Y���(�+K�{5ghM.L��$���x�$�XJG�;%�� Ba��`�?,�ym
_:��7��v�����k�F�a[���
�!5�4��e���
R�[��������Hi�#T�m`���^E����}�|/���[`�"+��rIu�Q$�$`;�z��VP�
���Y��MQ~��8mW���]��U�)�wU�~�U�b�������������y�������V�����g�N���}�
�N���w(' [��o8�h�qJ �+�
&
k��:'�~9k���vZ4Z`v���������
`�������aF���/ l_W�bM���r�\��s�J ����#��C�������iQ�������`Y'Hq��m'���9X�1�pu�{��r\�=��c�����& 4F�
����aEF����mdm8\�2�#S�K��S9(��a���� ��F��5�mxg����j�]G�p
�g� @#;��aAk�`/9Y��B�t�8I���1�F��
��vU��aW'8���`��d�8���{/{9�U:Y�����R�
�=��d�z� ��Uz��Q�N��X�~��Lep������5���U�� t|�s�?-�����u��]������W
`�g��6%BV�����9���U
P��Ws\�s)���B���-1���8!{�A�����f-`��G�A�<uQ�����LUg$���>5'Y��R��@��1�ai��'v��:
�3
��|�
��i�WHv�Z>��
��{�xa�9�8�5�n���h���� ���dC� ��?�@����T���l�Q�r5�����
u0����x!U�I?�0F���|*�y��\�T�o�
���
���tf�iQ5��d ���}uin�^9|�s@J�
l���~%�U��X(^-�azZ���lW�����A
�c�xel��V����|��p�2��F�r
�-�������'�<0�����C:?� a��N��r�����+��i���������>2�P=M#�X���@V�;���y������v�x�����7��~��|��
`L�e��8E�~WCoXi(����<[e���Yy����l�\EAl���F��E����9�U{�o?KI�i�@Tl->l���C��{W�4��]?bE��.��������x�QJ,��ypd��;�C�y��
���.���!�r��{Zt&�u����F�VQ
�r��f��f����l�Qog��N9������Y
����m.���S�,^�G1�������ug�AT���u|�=D�����q�����ocx�������;��NS����Zo���r
�~f%F1���*Zh��=a�2��l�JY��i�/�S��U���>����D�2N�6���#F���������������X8���c;A������O���q8���a�3U�p��u�\ |�G��-Y*���c��*}% ���:8�6�;�����L�c�vY�ve���Ku3��#�/
�spV8V�oM]P�����C."���!����n�+
P
�[�UO8�_zGd �qJ�PS}UqG�n�.���/�M=���{@!
N8 �o0�.<����+
��J��UOf{���XW;��J�����7��������j�{��V��3�G�a* I��Q����1?���H~���Y�m���
��������c��c�3���u�~NL�Q�����=�E�C��~K���
�d��G]K��<�v��v��g����J�m �.Q���[_�4A�����t��M�l��k]6���c��
n�q����� �
%`o�3���
���8J����=*|��=1�
����g�)d�qx�)�����K�y%
w�
/`��-U'SY�K�r,:�H�rG���@��>-���+�Z������>
���|@r,�] ��o�|9
PE����u��]6��'t���R*R"��I�pY�&������*
}Wq�a=��p����� [��I
-��A;��BN8w�������������v�
�)k�[���u4�e�{�
���?��\�Ns^v
�k����r[��T��l�yXe�7^J'(�hn��+;%V �1<�E�N�&�Lm�k�K�I�e���=���%��v�� v��a���0������w!����oG@r6��5
V=
&���z�����B� "�G���*�+c���D�s���/R\
? V�B
��}���������~covw�jD`��
O����@(������b-���
`�]���F���
���1��l����_7
�
J�����2�>J���=�������Fq�h
$�
�#�o��x�z���{V���RNW+Y)�9v��L<�POu�T� F�
Oyk���&��r�)�/������7�x�%
>��z`K~�P�1����p�Rwd��:������E�����<�v���]�'�����p�{�N�:^V�Ytu���Q���i�V��X�Q��Xe
;D�W���S4|W�����{��Z��������j`y��4����p(iP��vqp9
�m���T-�~e�
��3�J��)��r9���T��6'�d?e3��]�Sx�����g��i�z
�
@zUnm��1�%���q8(��L�]9����S`��C���������2�`� V���{
2
�PG6%��yE�te0O�9������\��
�v��Gv9�����Gl_s�jW
A�|�qe`Am��z�K�[z��
�Yo�9�g�S���v����k��rz�b�����z�i��������ia��� *����
��x
���5S`��J�s)�[���l���^�8��m��&�9�'�#�+��g�(�2G>LQ/�������T�wF�>�;�0%5q��e8z����X#�?��RS�I ���z�����2�N!L���
PiI!4�N9�b=���
�&@��73<2�2n
��X�7av�9�����M�qC��u'���W�?:e�u�Nz�
Dh���4�����\��a
�5�AM�TK ;�4��jj��������z����)�������Us���%�/�7��
�[����~q���'W����u������B���
|�mP�;k~qT��(T�v?f�q���,����z`���3�-��]�?��������i�Y�Vd
9�@>.���C��W�hs����P�u���C{�+��l����\}+u)9�S,FE�����H�7�q>{���Ar��-�{����|HY���:��86��
����L^|�C9�
J�����ZG�5
�U?,��e"�~G����Y ��8
;����
.�Tr{17��'���
�Q���o}���6'O�q�^�E,���c�F��E�b*�y�x�B�����\��q;�=���~4��lQ >�Xx#k`�S�]�e3�+���J��mWKV
MW��+�U��z��
�C���<KP���~��
U���
:n�E����v�W�Sc�Y���s+�
���N=�������|����A����������!O� �Y�<U'R?6
wx�����ZV���aF�rX������7�m����5=M�ak��H��
�{�h����]��;nl%�y��VB�f��R�qUj {z{**���4���8&�RO�-n�Lw���{��c�Kp�x;�����a8�P��y�
��Yb>��[&,����3
g�
�Z�l��C�v��P����{���bN�q��-����t���{
66R�
�;��rt�p��eK#8Bf� ������V�;�i����\n ���W9ROt��N�Y4��e�?�=V�=NN$�
�� :wND�
{�����Tj%t�B���,[>��������m�w���5_o�����GV��?t��
M� ��
������{��K�gu���eo��������U�WYV �8�����I�/��ZJ�j*v0����(u� w'`Z�i�M5��GI��[<�
�<Ey���DL����J�i]��[v]���\S
�!���cK��Y3��:�.o
~L���tj
z�Le&w��q
U�va#8����LM��r�iK����XTU��Q[��������
�(���oS����l>TN 5��y���$.,6���|[s
e:���,�����I{0�0:8�:s����E51�*�kO�`�b�~e��-7=b
{l
��u��[�d!��"y2�m=�c#�p�3�� ��mU��'A8�v^���{>�
��{�N����z:��Fo[�)��0H��h7t�a��7����
fU
|�
�
8��~q�����}�=�ze�7�
B��Q�&�q
���������M=�}[0w[��yvz?��9�PVx@�?L�L
1?o�|.�i�XF��s���%t���w�c�#U�JS�*t
#�������7Gx�g:Ys(�����c�|L���������1��� ���cOQYK��d�*�8�}o�!����e����qv}�I��'�<��U�U�
�s�)\��
�oj���rU���A��g�#.s;&�
�/��>n��`s��R�f�C�$A��Xrq
��It���"~Z%��VX�C�s��2X(p"���
*��
L�&P��Gr�
o�b������Z06_�l�q��vF��)[�3�Q�\�d��y�����
�b�YZX�eedz* �����
U ��)�����c���He\�:������.�#��>J�����T�Jc(���"� \U0�i�S��� "+�0:l��� O����n��p���UyPCT����n:H�b�����kc����|;Ml���bOo����l,H9H;3������s9�������v��}�j���[_\������q�@r�re�u�uwx����O�'����9�"�����(�9�nH&��':3g+�UGI
mg,W8� �S��Jr �R��+�
�?�R��<g/!�T<x��P
�s
���;_���XI��@��C�
�u]RT��T�q�F��������$���Y|����9���Q�J�����r}`��wHP,u?�Z
������-��*(G^��v�Fb=o������8�0��Dk��w���<q���Xr;���[��9
�}��n��hy1j
�5
|?Z�1��C-�j2���
�=�YS��r��|�� �(�Uv
=�*��a��
���]-���{�B�
y�lEx��Rg)��>��d���
���o7�A�
(�<G�ON��j�gi�)�
h��<����r��'2�cT�j\��h�p���>��������
g�p���(����cM�U#)Vv-�����G�J���n@d�o�������<
�n���[k�U /it@Y�rP�X��V[�3���������2[�
�]AN
��������4:��T$���/���R�$����m����
�y��������oy��tNUp,������qJ�����XPc�c���-�Z��[�{������49�1�~�r��}K�;�f8l�.���:
�=V�X�����^
�����0�>�H/�n����/,0,+%T�p_-mhj��k��[IgG�zq�
���P)����Nn�����9���Ss�?���(�+�����J1�y;��)vY�:2w5OO�����f!�;�q�
�q?�]�G��# �
�xGg��
����|o�d�41��R�c����������L"�e/M����������{��z75�Lv�yF����L����|�U1�%
J Z���lb: l�
~���Q�"vB��0o����%P{_�0��j{2��1o��zb��Ke�C %%�N�Y� 9����9��#i���^v�� �������]�=�O5����* ��D�U,�xK�S�����&���|���w����Y��scG�}�� ���/W��7����� ��W<w���m��e
[k��X�
0x�����pjh��9�[a0��.L����Yz��'C6A0
_QQOU�~��:�F�Ru��aJ6Kh
�x���t�^��v�������9�2)
����C�{�(���2�s��7�dl�aBV�*��h,�� �#�1N������M�T�2���T���p��9�6�
���n��:�������>v8�9�`�^�JX
�`��:��
��ny;�4f��{�c<�}�l��V���=�P�����������W���)�b���TH�R�8[z
4��.e2�����X1K�^
a8`��x�?
a���=�=�#1s�><G�� 3Rm�z�!H�
��
����8B�;5�F8!�
��g��r�z�,
+���*�40sb _�!��LF
�<-���b�M�9T�^������^_^�[J�b�m��E3�}�=v��j��6��i7^�R,�`�&�F��\YF0Ax��N{�qW
�O.
�LW��f?��_�G@��|��d����0<�-
=����e�fqI�,Y�������(���~��T���8��K����PQ�0�6�I�*���
b[��
����(p�v����B�p_����?Z9�U�3Tj��
�
x;�����7�w[��\�:
'���h3��K�%����\���@�������q����aq�gU��|A%+{h�Cj�
N�|�����r;%h�T���s�
<�'������G
s�1� ]@V��_);(�:��Rc�i
���Iq�K�&�U?�������0�9
������
��`{5���4A{���^ZhGw%-OKy���'1����c�vt @��Ec��s���7�m�� 9~1Eg3��
o)��P�[d��u���UcYv
O'��N+^��p����=�>/ �[c?[Sl��Hn"g��T���Xg���$Z�=�[7��(rv�)��k#�m���c�Z�
Z�s�%��|i��j�>pigy�-/;��&
�{YI`d[�
�X�Z�����`@���bgM<X4�k_0�i��R��e�R�U!]���y�9�q�����rd)��
���"�RW
$��mh�C6��nT������fY��[m+f>NN��7�����cw(��V��9�&
1��
�dC�*/;cZp����
�
��W��0�/C
�RE*�X�
,sE7�����+�io� �PM�Y,r��}N9��e�
�v�)I�
I�T��%.�
���j�h
������B��e9�3kD���[���48�a���1��x$�7A� eU�
��5p�;n�z:,!��K�����������q
�
d!���#z~�-b
�4���w?Yl�y�Ay��c�/9�]�s���Y[
��`P
��!���
��Sm ���
�#���M�j
V��5,�h�����T0 o�%x��s*��jI�\�l��}�9~)T3�������8_��+�@���6���������B`0p�������ew�7�W�-+�
hT�!a6�d�mZb:�d��`^[�����sy8CgX������y��[���V��#u
���f��*�10��z��[z�,A���s[��l��]�I�����,�c
dw����l�~b���:p��|��>:�qqC�
T�'��ukH3Hir;���w����Pe'kAS`s��eg�*�m���Ix
��7j�����,)k?8Q��:,��fM��U`7���S��_����"��������s�+�>)'b�,�q+Gt.P�Y�r�`����/��mOq P��M����%�5��<,fo9b\���c�nS���<j
3��~�1E��"Pwne�F�Y9
���]���
�y�)7#9*&��&Ju�����;�;Q�wp����B7�\
��k��_u�?�sd�20���I��g�!
���Y��^nwu���4�1��(7�������l��J<��=��Hj=���C��{:��;q�~���J�'������>��\�4��a�Q���,M���y�T
��M6Ns@
��������9��t~��;�[b����4ad��r�")a������q
����l�:���v��B8��y�{b�=�=uO�[y�,,��� `��-z1��TQ�d��=� ��+$5(�����'@�3W`+j=]� ���6�N�j2n������q��[6��R���VM�e/�4��KPe
+iZ Dp{{�����O
8�S�vG�F��m;MF��k�tv�V�T:��.�";(���@���'�R�[^����Di�e�������g������}6�}�
��������~
�� j�����|��Q����0a��W���M��n�Kwd�(��
���7���p��q��-�+�
_1���rn
*�
�JY?A��EW�
Cw����4r���- �m�������& �b�]�=|�9��>��<,���[L`F������+��+��m�1P�p3����I��>�+�0���&|�
_�u7��-��=������@��_������6��
H�qK@��z�mab��XG��B,�m��5�=�9N����$BF�8�� �R �a���B
p"�,�8��}�������C
yT�%?
e�;�#��@�$���4� [�r�'+�x��f;@����8
D
.������`��8F<8w��k���92�-�
;`�J��
g����
J)s��1>�}M&�qO��8�|�M�1��yy���k�O�r&�������cy����/C���Y��N�0��4�(��f$�A�`���X���#y��6v����
�3[!O���Hw8�
N�4���a�g�I���pX�0G
�Hp6�����Y~k���X�?�2T
��$�d�V�D�{�n�����D��w"F*<
�u��|b��)e��q2�����/�9����
w���%�)�b�����
�D�w���,&�}�� G?;e
k�4&`0�aU���
]A��i����1�d�#r�5;id���|���>m�����y�>=q9�R%A�
�� 1����-�'��!xga�#��*
�k����>�,�1h�Db�����C;�;���x���&��i ,���X.
1�X���Rd�p(�w��qN�K��uC�]�����hX�\b�TA��B���c���@�����tC��
�><�����:�{���P]A��d��6x\����=kVeJ������
�&�
:���w�k�U�*���_��������r9��v�*�Y���������6My�3���
�{�����>�����W��SA�/��Y��fZ����CiN�����c�eV���p'�G�`���������c�����M��c����
��d�����k&�� p��:��VWl�<��gL������
�[h�<���7
Vjr~��kJF��e$��-
�8���
�+q�j�Aw
�a��=-Jn[(����+��i!
�9������0��b��fG��Q�$t]���xz>=w���������A�v^W[t,X��.g;8�����C�
����(������R��U��r���������T�
��w��a�+��g�ks(�y�}p��!:�:.|7On�5���i�S��:P
�2){���
.�GB��qY�b�
�s;a��V{������y1.�l��v��m�P
�
�o�<h����n�/�94:�����#t���0j�6wb��X\�m�n��e5��i����px
;�~�
���6~��#OU���._���A���I�g���;*0
���-���ip�%���Q@�
x������S��
��-6~�p���#���
��5GW�u��
3m���`�����fW�g�SP��|�km���1�9M ��T�����NU�^�����%"m�
S�*�:d���
@z:�-*�Z�u�q���4&�E,cki����b@)��B�Y�{
���u �����8��`�tu+���}�
�
�*bN���c�� �
�����8
f�vA��!8��Iu'��8����S�j�R��� qi�[B��};�K�!9�[a1��%� ����N�y���������C�V
�vS�~O
L��b�<�27�! N�x.
ep���������v����G
V�81n��
f �������,0{��U�^r���b��9��%���� C*��ju���]J�Uy<n�E2n�;,?wp��kf~��tX�*E������S�H��U�Ge���
������3� f�RY�=<���MQ���n
��������;��p��w�
Y����`��Y���_�j�rE��RD��1cm�_�U��h��>�'
H ����p���;������A���������,���c���������������G
O9w��Y����<�"s���!g�y��Q�!���:�Q��
�XA�c�E��P9m)4����iH�J��t����'��l�
��
�1:�M���G��l�6�3_h��i�+&�)N�6�����O���u��E��ba����j�fD�*=
�S�:���Rs�!.�y��LM
a�;�]��-�zm�*���
��������Rr�����<�r�V�g�<>�2�2M���Q�c� ��y���M|@��89
P��l���u��W�j�3������7s�GI���h�f�D�XTk����&��h�&F
h-��gn1��,�����)��� ��g�`�w�k�����D
>Z8�/yH����K�!���c-�����
F�|�j`�Ca��kg��
����iF���3
Me6���� �|Z
��n���k[�1�������!�s�I��N0��0�f��l�;W��9��
���g��c��A%�KE����^��_��A��]*u�a)�3m����e�E��=8�
�5 ���
����\
+�@I.�~�<8�G�-���9T�w�U
r���� �M�����;x����������Q��f��%:���jV��~5���?D�vc�Z�b�|hj����x�N�T�P�f��~��������� ���Vh���u�,�uc��M�����G
K"���s]��$N�s�����ln�N���
^<�7b4//���zu�
@>�w��N��G�W��Y1�s�8��Y��p<�4��y���g%�o��R��������^�:�����5r�W�e�{�8gBus<?�_=1[Q���,S���X�!�B��UC��b��= %o�����@<4��b��w� o>G=X�}<N��U�,!F��yx���f�
�/,��8U���f��8����9�����Mo�����Y��^JE�J�� �Zgs4#��S
p��: qXs
"��������!(�[3z�f�M4�+(BT
R�y�����F�o��������_��W�����W!F��%$�X5�d� ��o���j���rmy{2�[7#7��d;�ax~�:t�X�.+�� ���K�4Rc�Y������2�����`&������V�q0M����gMTpj�
,���*���
���]��A��{��WN�6��#_�wC
���
v��W�� y4NG��}�
����og�p�/�fM
;v��Z.6���!n{���2����5���?r@d�Y��U���]o��
��>��<�p���+��I�p�[���p:3w�i��
���;��*C�N�=
G�L^S���n���v������_�haJ�l����~-6i��� ���My��W��M}8I�X�x�
�,��!������ J Ud��jk�*����
���`�.eZ
�s.,��8�3U�����+o�1_�����Tn�
�����U������O��!S|���9u>eG�����_��a4����A��ue�u�g)������=�Q
<n���[��rm�$F��o��96�i��6�S�[>U,�Bk�A/����F�;-��O���@y�����z�%�� ����G=��AVh;�� G�N���j-V A. g��
�����.�
v�ro���h�2��g�V
��U
� �<�ey��exq�=
�`M��X;���n1^�������M�!O'������) �t�;���B4Ed������,U��������q
Lc�|��`���@g_�= e
�xz���xx�M���Z�H�"|���u�5��Z���}�F����Z[��ca�����4�����
�J�s
�l<��7\����T�=U�4$����h ���QIiV�e-�[F1�@%�/c��On��f
�s�{9�����p�G1(�z&��=����+>V
�M��S�
@^���;�AF������+Z�e�;�=�����i�G���b�L����5;�:.\dk�+�����3�
�R�=2�[Ft
J���8/�G������%@�]/>o��
+]�T��q�[��l
�7��<��9.
�yX��
M:�zW*
������
u�M���tqK��<.�
���`��z���;���+Qd(���&�mN��cq�5� >����������99=�: 6����=
<�
���L�`2�
m� �;�)�G��n;�
W
R����_��w4��n���s�0 ��@�-{��X�����5���
����:����Y���,p�:�}(WQ�f���������nP�n�4
�<�"�[��a������tjK�@
<�
�
9p>��9�y��"AU�~�*�ne���t�j����/�*E;��������5��j������ ����N�
���o���q�:���Hp��@Xy*�9q%��������t�����?
�&��{�7<��
��J�M��� �9���$�������
wQgj��.`4��:��k�\�eCv.�%L�,��J���k
+�8���������&��'z�0�S0�m�_c�aF���I8�X�"us�
�3aA���v9=�y6z���%�#��b�G�Mv����*(T�/ku����a*W���e�R���k�?=v�?s6PS �
;bJ:m��C ��m
�+S@fg��S����Y���������-|�0�ux�M^89'��>A��:R
Tn��#9
���%3���a��B��T��/;X
���Ld_p�qH�=�
�~p����~D.�WK��&��t�u��)ef��=����F�9�Fd�2����aY�f���KE�3��v�6�h\Km�k8f�q�aVY�5Lx(���8���Nl
�7�4�-j
0��Yy-��o��W��B
Xn��������B$�\[lx�(����&�KW���=<����:eU��.����.P+��V��:�4=�zM�� ��0�cp��:���N��$<
��V����C��}3�,O���5�����N*�=M+�pf$����#_0{��,��f^O���]��
��F�a���������� ��G��`���]�� 3�:�
>�����+
��%��?���`Z�
�,�D`�x[lrq��*�z����dzf��(9`��C��|^�5����S;^i�Z
��9�{���!�
t���
�q�b),�]W�
�2w�[47�woon����DiRNE�n��&;n�)��s�m�l��li���Y]5y0��
���2v����vZ��A�����[Q���w.�!Oc
F�m`3��2gV�����-l��%�Fogw���:���Z���9�e��}L
���mL�q'�q�|�=�K
6bn���������
�)�M/�[gN��;�u��o`���Pt9��5G���U��
�&#N>�Q�s����pU�\K+A�/��H�.���X�����g���ST���;
7��w�i�
��!���7
M�Xz�
k'�P�������t����
�h���z(0��O�
/��������
�������]�F�����C�wV���U�A��s�����z������%U�Ku.��l��an\�����$hg*�t�mvd;N�����+���!��!rJeI���[���t�x�~]�
������
o OC�R.��$ [
$98��{��bC�FV���:�d�xy�7�������������O:��e)I���8\#G.��'���b�E�i�����e��Xx����p��{��l:k������P(Y5B���o������O��ae����p,l
�
�
��Y��6�
�Wb�Kr�<ON�E!�*8�c:rd�� w����k`��}Rj��A
��:"2�X)�Xd�����T����9�1���X9��q|Su����*�a��%��|������p �����^�hP�
����x�d�5^��e"�q�N��lN3���8 9r�vu��pC��
�������
��_*"�/���U�����
*�p����!�,�����NC���5����M1���U�{����<�cd�L(��
8���b�G>�
ldm���V��"O��G�@'U�����
���PD����s:l��E�R���%��s���~��
�s��f^b R7����
��j�j��tVNaX����8����&������<��k#@(]�:��1K\���
V7�vm�
���{����>8j��yNE$�sM
�N���
8����9��mG
��|y� �K�W��s�Ks+��-C���
�| � ��
C����1�v>��]��e��
���}�oO�|f��
wT�e��JJ0zL��Tg2D�6�&�^�ZHA�B������O�|N0FU��G�%��T[
����(�q���9�
�2d�v�re��*��m�C���?vLn?BpCS���9�8����������H��9��k���k��Sc2Nw:�EQ=�G4���'�0P�e5��� e���0��5[��
�`�b���;ws�'
�����qP�a`�Yw����
�����8���|�y��Do���dL�3@�C�����.'�
%m�U\s}�QI��sv%�N������SnS�,�
��N����y���i>G���%q�
����m����b�u+o
������
�����F���
�����W��0-kz��e�8O�"��������+�h��p}����2��u����QX��v���o1���i*eJ�U����n��r���%8���]�u�]9�����X���A�
xE��rE�P�8�
Y<b����XIK�n���%��t�����������=�L(����\��8����R>������F�6�gaN '����'�r'�_ �
��=�lK;��a;{.[�)*���� z:�E�uQ����O��K<��b�
��U�Br�]��3cy�g�9��V��V�M�Q����m)����~���H�Y@��v���
���u3�dA}��x����;$�R��-
����nyT��'�}XL$J���p��=�]�f6
�XUM=0�
�-�����}Y8��l�y/J�7@�<��f�,W��t��
{�*
�}t���!�T��U��w><;���}��\�I��BR:5���E�cZ�z�����R8;��<��
l{�i����=�mg�'G��s������A;.8����c4Og���S�1C8�� �-���g�Y�������
TI*)��v�v�]�Q]�����$�u�<EI\S$KRr\������A��
N��{�uN
�
�y��
���O�Y�|Q��!��}�B�x�w
_M�Ffy6�3��j��nS4�� "~��]�:&�N�x��:�S�z=w@���S�+�����o3�4w��Y~0(�lllZ����o8�c����gxZ�\h��� �L�y�'/�y�S�
&��,���M
hB�xk<
�N�)�����eH
Q�����u�0N�0�
�"�!��t[���i�lw:��$m��y'��\"�
�v4�������K'�����!�>j�X��v
{
��/�~�\�
/��q
����"��F�c��
s""�
"�g=�rc������r
��N�;Sw����$v?G��"�}FlO;
���
�hj;xN
�j��Eb��0u��v��f�,���
����]��p.���Y�7m��
���Z��Y�q�q��!rDIg�
�K����g�1��"���,��H��I[�l? �Acb&8��[�^�D��Y����3�v�&
�h"�R������#����Q��L`y�h
�Lod'�c4f�u�M:���d��.m��B
}�c/��o����%i�9��pi�,% Q2����i{��0vw��?�
����qV��7������
�C�q��������"'a�o����zs���'�����p]0�vvv��Pm,|p�W5�y���1������f�p����b�:�4�bPY����^���^����&s^��:PQ��J�[��$HV-}CT�)�
o��b��j��*�:���\����v&
����"S0y[�^`��&���5L���?
�C�g���GP�q:Ih����&A|����^k�����kXq&�4��(��J�#j
�?m��zi��a���[`��%����NGA��j9��T �H����������v��O�
��4�5
�����G��t5l��s�d�7=�2SW ~�����*|��5�vd�?�����cZ���������D�dRWpMV�����g����7��G���Z6n
j��� �E�5��j7�0IYy�Z��%�1c>|�b/��`V��������%�x����go�+C�
=�cf2��=�TH��Na�:+Is+�@+��[�EQqo5�F���
!���^jyI��6�fS
�TOAy
�
n�+����`"����
7MF����
�t|Yk����}������i�zx�MU���������B_�����*Z
��!/+2��~e5b{�8��z��;`�&��[����x^?�k�������z����+��S����=���A�8
�AGw��q�y�r�r�����f`�
�v%4��Y��lQ�pq-N[�!��,�(n���k�,�ir��]�R��q��~����`���^��|�g�/�����L? �gC���(���� �
�1�
�
wu4����D�������m��"x\dM�����@L�!����59���]�2��A�P�9U�~��=k����:�c�.[^mZ0n�[�%�n ���"��f���-#`��t�k�b~H%$%�TBt�TB|�M*��1Yb$�#R0������a��&L��,D ��,����|A�F��������^h}���O�g��� �bG�KZ�X�
�
��?��Q����C�+�wK��9|e_)~�tW�+��F���1�������O,-�����jq(\�v���z�
����pq&- ~�D���a�
��@t�>/=���(Z[
���$
�nr
��Z���
i��u��C"t7�>��2���p�>�[�,�
��"A���l�3�@�a����V,3�_�P��'���,�b� �z��g�)��6�7(+�d�6{�T�Z��
f%x�Z.b�P�CE�X�gX
��]�@j�Z��^�kD;��z����
�
���sT�Z��<je<jM]`�|�0���b��������Q���B��q
M���Xz�K��|w��h�j�����v��3����d��@���k�t;��
ZN���HH��~�N�W���
p�
� �����>/_-�#r���,��Z��
�V�g� g?�|`f�
"\�"��'����`���K�$_c� cH�$�>}A��U�������|����Qw������}|z��D�����
���
eZ
��A1#�Y�6����w��1�2T�?��������Q��-d��
�w���8�R����=7�o6�
7v�T� � �!�D��7����%��.�cOtrs��4
��s0y)��<�Q���{w|trp�}+�Is�r�[��{��R!W}"� [c���z4;���<q
mA�%Ck�T��2��h��4@2���n
kL����
ck���KM��Z4��-j
��m
�8��
�X�;�wO��/g��O���qU�V+�X��D ����` ������]��2*|��n�+��]�|�������@h�:�����/%�#t%
Q��2r<�M&����%�a�<�y��S�Y�?H��)���~�
)w�V������Sk0�'��l}��A��������/���s��%�g/� �90��]
f��i&�0����6��N:�*����C8�2�T�j3v��aH�&�x�e�1F��C��uN
^��=zq��@����@��}���>��"����sQl2e����O��$���*�q�yo+�������L�V]N����M)���6�.����;Lh��Hf���k
Q���K7G� Ny���-eN�L�QZo�R&�;�
���R&
E&2�7Hd�5
X����ro\�
[����W�?��=��<�=E�2�
r�2��9���3vaw�9���ba������"�h�/���E�
��
�)W0RX-��.#_�=[Ai���e
X.WV2���f�������<W
^uwa��-deg�f��$�.����b*�6���k����[FV"���Q���F^�i��^L���J���*���8"��vTd��6�u�1�w�;5�.[�6
�������4 D ���O
!����T�E&��ft�D��l
DY��
��I��3�k��BO�3P/�n!������f.<
�V��������T(F���KP��Z,&
��J����
y����YI+����
~��K�D�j��*A���q��qa,R7���z������ �-��%�e��B�W
B~g��:-"������]�,Z��hq�����2���
u(�����<�����
RS���(e��rG����
���� �-q���*��Q�Y�����r=�u2Y&�U*U�������C�/nl<�
&�A����r�'0��|2P\�?#���^���'�h� w`��V�;�����}
;v�rA�qq?c���8�*M`c��>�����K0� �~x�f���6#n�4:�@�s�y�bl��'��^^�p/�� U<Hr��
��(�
O����
�����
j&
X�(Znk�ZY�5��K��e�U �M��A�W���kc��h�u�[�{�l0z���l�Z�.�O����>{I5���;t��e�9�~��,�|/�B#EE1�y�Y�����0:p����
c^��������|��ykkc
�OT����?
�>{��*�����e���&;u�6�
V�,A��e ���d����������
��;���
���o��������n�{v������v�O������]���:z�}y4��R����Ts}�o
�~{�&�H��8�c�������"�f}N�~a�_GS�:�Q_s j=����F����
�Q�S� �0<
0���1{���1�����T��%�������&l,md
;��A�1��
0����
_�? �j����
�wH�6)t0������'����bW���xp*!w��)Fg��?
����8�zu
(�{xD<Rg�����M#�8.IxN3� ���A����ON�c:��Aqo������l�s%R���F��:����
�P.wD)
�t��Ou�v3��&I�
\5�����������$"<
�����Kr��g��|�
A���6o��W
��c���mIS��c�����q�VA���I2���(�c�����F���(�8���D0���LH��,����YC�5J��\��Zhx�j<�
���ua�3���0�%�j����&x1�J�,?���hc=��~C�
��`V��
'����18!V%f����W�k �{GH�;L����h�Qx����k�
��U�i$�p����x.H����_��Ans�&�m�Wf��I�Z(L��>B�Z&�N����������Aa�g��"P����A��>�LOP$2�5#�
$-~�u��{
H�`����2�cF7Gt^
�����
������� n���L������s�f��@�����i�%P�]K�����[������� &o������;�Z��;8��NN��
u
��
�E
~�����~��a6U��G����wGG��6�xs����<��]Y:cof�����Z;����������]��D�a]���$q;^��5sb�4����Oh��k�+�+uD���|�7���o@���<M���8��F_!T�z��a����������s���~���
�+��v ��^
#b�������t��
r�mX �t���9�jv����k6v)�� �UKG^����\
)��R.�pl����>R����} �j���
�?o��
:p����?@�"
���d
6�*XI���� =���/xB�s\9�����3����wx\�jW{�M��(����
��.�O�
�T������F|�&LW�����SPxI�<� �W���S�\�R����k�-o�Y2�pKg_�
�H������B�U�����g�V������<b�8��U��j��
)
"�������LZ�� �@���m_lG��v�����h�j�����g�lo�/!�;�2��8�������$
85�Eu@
���9H1.v��'�Ix�sn|!�3�t
�HB��-p8G���I*�d���}
��;
���s ���M���;�����#�$����&�p� _��X�����J�4��^�����.���d~L�)��I��{LJ0�!�'%F)�<�5E?Jz�����0�
1�4F]JX�����
������
m�B�|n.�(7���XbdH�
*P
m��2����J��Uv6��i�ky�����%� w[
S�4����w��&*���>� ��]�s'��,�
D9�,���&yS�68�* �?]r$��)���J��6~���s��4"�dA�gi��wm, 7�A�F]�s�2x|�*��L���B�~�Wxt���R�
����I'�tS���d���U6������F�&wFe�M� ���-���
��M������SGy�r����\o~Ay@Am1�*,����_l�i�9�MV��q@�)�����M��#�n��6������@��N��.kBl��yE
� ��}�IK���t~t]C�
����}|�����{�(��������z]�,�a�F'A
| e�p\�Cy.����L�
�o
A\@�������$<��x�#���CT��.��
� �4��5P���*%��6jJ G��/;O����
�Jl�D��>Fz
FXz�"��m���Z��Y"��F��P���y
+�
U)�*
:V�X�����hR�<�&+��)�R�lP@S5
��-���7+�A8w��qHO@K�+6�C-IN�o������2�wu��\�J�#�-��EI0D{^"�`��YvQ�
X����v
�&��h��
v��Z<#�����T�4�Z�Z���C�m�p
ZJ��L������x8du�;���A�"0Q��-x�?|���E���
� �/e���5y7���a��I���j'�*L4~�[��{�&�G��xVGo��wL��2��9d������������-
_��aftyD������)���
3�����g(>����c��K
�I���&F��,��=:��2���2��+��*Tk
��I!C��X=���Hwm>�Pyb��|#r6ZpG�X~�L<������� ��Q
��e4�,��t~>m�N6� ���������8_�t������������c�IT����{#uG�
�
dQa~�� Nt�}�q ������f�R�Id���_e�K�����E,�����Xt��Jk�{����U�.g@���J�3G*
LN�2/��W��+7
�Z�
9���
���p�4LFq�(���7��pw�
��u�<�t���.���B
?'����������tLi���� �7�����j��u���4T�(h���#��8Q���Z���'�;a�����2P�H9�t�
F��&��Y���[~���-=8=����?�=f�ew
d�`�^�0D��<�t��8�o�e�D7\����@:�i�0`�E���������R��w�B�O����M�^��]��A�����������N_� �b� j�H�Q5-+Y8P�]\�7y�a_:��u��@�f8_�`�j0���d��6nlZeY�S�'<
D4_@�
�{D��X��A_~��D��;eD!�J��K��w��n�,u[T�T&�8Ye� >/�M�%�c��!/*L�_�4i��i� M��4�'b����B�x�3e������D-pY��p��� ��5�S.��v�����������sK�m��cfe-11-persistent_over_cfe-10-hint.difftext/x-diff; charset=us-asciiDownload
From 5581d25039fda613e6c2328fd21d362d866de6b4 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Thu, 11 Mar 2021 20:02:54 -0500
Subject: [PATCH] cfe-11-persistent_over_cfe-10-hint squash commit
---
src/backend/access/gist/gistutil.c | 2 +-
src/backend/access/heap/heapam_handler.c | 2 +-
src/backend/catalog/pg_publication.c | 2 +-
src/backend/commands/tablecmds.c | 10 +++++-----
src/backend/optimizer/util/plancat.c | 3 +--
src/backend/utils/cache/relcache.c | 2 +-
src/include/utils/rel.h | 10 ++++++++--
src/include/utils/snapmgr.h | 3 +--
8 files changed, 19 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/gistutil.c b/src/backend/access/gist/gistutil.c
index a3ec9f2cfe..1ff1bf816f 100644
--- a/src/backend/access/gist/gistutil.c
+++ b/src/backend/access/gist/gistutil.c
@@ -1036,7 +1036,7 @@ gistGetFakeLSN(Relation rel)
return counter++;
}
- else if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+ else if (RelationIsPermanent(rel))
{
/*
* WAL-logging on this relation will start after commit, so its LSNs
diff --git a/src/backend/access/heap/heapam_handler.c b/src/backend/access/heap/heapam_handler.c
index bd5faf0c1f..0da8f00443 100644
--- a/src/backend/access/heap/heapam_handler.c
+++ b/src/backend/access/heap/heapam_handler.c
@@ -660,7 +660,7 @@ heapam_relation_copy_data(Relation rel, const RelFileNode *newrnode)
* WAL log creation if the relation is persistent, or this is the
* init fork of an unlogged relation.
*/
- if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT ||
+ if (RelationIsPermanent(rel) ||
(rel->rd_rel->relpersistence == RELPERSISTENCE_UNLOGGED &&
forkNum == INIT_FORKNUM))
log_smgrcreate(newrnode, forkNum);
diff --git a/src/backend/catalog/pg_publication.c b/src/backend/catalog/pg_publication.c
index 84d2efcfd2..86e415af89 100644
--- a/src/backend/catalog/pg_publication.c
+++ b/src/backend/catalog/pg_publication.c
@@ -67,7 +67,7 @@ check_publication_add_relation(Relation targetrel)
errdetail("System tables cannot be added to publications.")));
/* UNLOGGED and TEMP relations cannot be part of publication. */
- if (targetrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(targetrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_PARAMETER_VALUE),
errmsg("table \"%s\" cannot be replicated",
diff --git a/src/backend/commands/tablecmds.c b/src/backend/commands/tablecmds.c
index 559fa1d2e5..3dcd797cae 100644
--- a/src/backend/commands/tablecmds.c
+++ b/src/backend/commands/tablecmds.c
@@ -8553,13 +8553,13 @@ ATAddForeignKeyConstraint(List **wqueue, AlteredTableInfo *tab, Relation rel,
switch (rel->rd_rel->relpersistence)
{
case RELPERSISTENCE_PERMANENT:
- if (pkrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(pkrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("constraints on permanent tables may reference only permanent tables")));
break;
case RELPERSISTENCE_UNLOGGED:
- if (pkrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT
+ if (!RelationIsPermanent(pkrel)
&& pkrel->rd_rel->relpersistence != RELPERSISTENCE_UNLOGGED)
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
@@ -13598,7 +13598,7 @@ index_copy_data(Relation rel, RelFileNode newrnode)
* WAL log creation if the relation is persistent, or this is the
* init fork of an unlogged relation.
*/
- if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT ||
+ if (RelationIsPermanent(rel) ||
(rel->rd_rel->relpersistence == RELPERSISTENCE_UNLOGGED &&
forkNum == INIT_FORKNUM))
log_smgrcreate(&newrnode, forkNum);
@@ -15035,7 +15035,7 @@ ATPrepChangePersistence(Relation rel, bool toLogged)
if (toLogged)
{
- if (foreignrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(foreignrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("could not change table \"%s\" to logged because it references unlogged table \"%s\"",
@@ -15045,7 +15045,7 @@ ATPrepChangePersistence(Relation rel, bool toLogged)
}
else
{
- if (foreignrel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+ if (RelationIsPermanent(foreignrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("could not change table \"%s\" to unlogged because it references logged table \"%s\"",
diff --git a/src/backend/optimizer/util/plancat.c b/src/backend/optimizer/util/plancat.c
index c5947fa418..7f2e40ae39 100644
--- a/src/backend/optimizer/util/plancat.c
+++ b/src/backend/optimizer/util/plancat.c
@@ -126,8 +126,7 @@ get_relation_info(PlannerInfo *root, Oid relationObjectId, bool inhparent,
relation = table_open(relationObjectId, NoLock);
/* Temporary and unlogged relations are inaccessible during recovery. */
- if (relation->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT &&
- RecoveryInProgress())
+ if (!RelationIsPermanent(relation) && RecoveryInProgress())
ereport(ERROR,
(errcode(ERRCODE_FEATURE_NOT_SUPPORTED),
errmsg("cannot access temporary or unlogged relations during recovery")));
diff --git a/src/backend/utils/cache/relcache.c b/src/backend/utils/cache/relcache.c
index 7ef510cd01..a4dbc286cb 100644
--- a/src/backend/utils/cache/relcache.c
+++ b/src/backend/utils/cache/relcache.c
@@ -2989,7 +2989,7 @@ static void
AssertPendingSyncConsistency(Relation relation)
{
bool relcache_verdict =
- relation->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT &&
+ RelationIsPermanent(relation) &&
((relation->rd_createSubid != InvalidSubTransactionId &&
RELKIND_HAS_STORAGE(relation->rd_rel->relkind)) ||
relation->rd_firstRelfilenodeSubid != InvalidSubTransactionId);
diff --git a/src/include/utils/rel.h b/src/include/utils/rel.h
index 10b63982c0..9a3a03e520 100644
--- a/src/include/utils/rel.h
+++ b/src/include/utils/rel.h
@@ -552,6 +552,13 @@ typedef struct ViewOptions
(relation)->rd_smgr->smgr_targblock = (targblock); \
} while (0)
+/*
+ * RelationIsPermanent
+ * True if relation is permanent.
+ */
+#define RelationIsPermanent(relation) \
+ ((relation)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+
/*
* RelationNeedsWAL
* True if relation needs WAL.
@@ -561,8 +568,7 @@ typedef struct ViewOptions
* RelFileNode" in src/backend/access/transam/README.
*/
#define RelationNeedsWAL(relation) \
- ((relation)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT && \
- (XLogIsNeeded() || \
+ (RelationIsPermanent(relation) && (XLogIsNeeded() || \
(relation->rd_createSubid == InvalidSubTransactionId && \
relation->rd_firstRelfilenodeSubid == InvalidSubTransactionId)))
diff --git a/src/include/utils/snapmgr.h b/src/include/utils/snapmgr.h
index 2c8b881a09..f66ac58188 100644
--- a/src/include/utils/snapmgr.h
+++ b/src/include/utils/snapmgr.h
@@ -37,8 +37,7 @@
*/
#define RelationAllowsEarlyPruning(rel) \
( \
- (rel)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT \
- && !IsCatalogRelation(rel) \
+ RelationIsPermanent(rel) && !IsCatalogRelation(rel) \
&& !RelationIsAccessibleInLogicalDecoding(rel) \
)
--
2.20.1
cfe-12-gist_over_cfe-11-persistent.difftext/x-diff; charset=us-asciiDownload
From ad92ec577aeacb91b7722e7de8f7d6ddc014ffed Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Thu, 11 Mar 2021 20:02:57 -0500
Subject: [PATCH] cfe-12-gist_over_cfe-11-persistent squash commit
---
src/backend/access/gist/README | 10 ++++++++++
src/backend/access/gist/gist.c | 21 +++++++++++++++------
src/backend/access/gist/gistbuild.c | 9 ++++++---
src/backend/access/gist/gistvacuum.c | 18 ++++++++++++------
4 files changed, 43 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/README b/src/backend/access/gist/README
index 25cab0047b..6b1f84634f 100644
--- a/src/backend/access/gist/README
+++ b/src/backend/access/gist/README
@@ -461,6 +461,16 @@ value. The page is not recycled, until that XID is no longer visible to
anyone. That's much more conservative than necessary, but let's keep it
simple.
+GiST and Encryption
+-------------------
+
+GiST uses LSNs and NSNs for concurrency. This means that unlogged and
+temporary relations also need LSNs. GiST has a mechanism to assign LSNs
+to such relations, but sometimes uses fixed LSNs and or calls
+gistGetFakeLSN(), which can cause duplicate LSNs to be used. Therefore,
+when encryption is enabled and fake LSNs are needed, the GiST code calls
+LSNForEncryption(). See src/backend/crypto/README for more details.
+
Authors:
Teodor Sigaev <teodor@sigaev.ru>
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 0683f42c25..5ca5f17db3 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -501,13 +501,16 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
* we don't need to be able to detect concurrent splits yet.)
*/
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
recptr = gistXLogSplit(is_leaf,
dist, oldrlink, oldnsn, leftchildbuf,
markfollowright);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -568,7 +571,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
MarkBufferDirty(leftchildbuf);
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
@@ -586,6 +590,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
deloffs, ndeloffs, itup, ntup,
leftchildbuf);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -1665,6 +1671,8 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
if (ndeletable > 0)
{
+ XLogRecPtr recptr;
+
TransactionId latestRemovedXid = InvalidTransactionId;
if (XLogStandbyInfoActive() && RelationNeedsWAL(rel))
@@ -1690,16 +1698,17 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
/* XLOG stuff */
if (RelationNeedsWAL(rel))
{
- XLogRecPtr recptr;
-
recptr = gistXLogDelete(buffer,
deletable, ndeletable,
latestRemovedXid);
- PageSetLSN(page, recptr);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
}
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index 1054f6f1f2..a8b82483e8 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -299,7 +299,8 @@ gistbuild(Relation heap, Relation index, IndexInfo *indexInfo)
GISTInitBuffer(buffer, F_LEAF);
MarkBufferDirty(buffer);
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(index)));
UnlockReleaseBuffer(buffer);
@@ -451,7 +452,8 @@ gist_indexsortbuild(GISTBuildState *state)
/* Write out the root */
RelationOpenSmgr(state->indexrel);
- PageSetLSN(pagestate->page, GistBuildLSN);
+ PageSetLSN(pagestate->page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(pagestate->page, GIST_ROOT_BLKNO);
smgrwrite(state->indexrel->rd_smgr, MAIN_FORKNUM, GIST_ROOT_BLKNO,
pagestate->page, true);
@@ -573,7 +575,8 @@ gist_indexsortbuild_flush_ready_pages(GISTBuildState *state)
if (blkno != state->pages_written)
elog(ERROR, "unexpected block number to flush GiST sorting build");
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(page, blkno);
smgrextend(state->indexrel->rd_smgr, MAIN_FORKNUM, blkno, page, true);
diff --git a/src/backend/access/gist/gistvacuum.c b/src/backend/access/gist/gistvacuum.c
index 0663193531..f783edd627 100644
--- a/src/backend/access/gist/gistvacuum.c
+++ b/src/backend/access/gist/gistvacuum.c
@@ -174,6 +174,8 @@ gistvacuumscan(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
vstate.callback_state = callback_state;
if (RelationNeedsWAL(rel))
vstate.startNSN = GetInsertRecPtr();
+ else if (FileEncryptionEnabled)
+ vstate.startNSN = LSNForEncryption(RelationIsPermanent(rel));
else
vstate.startNSN = gistGetFakeLSN(rel);
@@ -353,6 +355,8 @@ restart:
*/
if (ntodelete > 0)
{
+ XLogRecPtr recptr;
+
START_CRIT_SECTION();
MarkBufferDirty(buffer);
@@ -361,16 +365,15 @@ restart:
GistMarkTuplesDeleted(page);
if (RelationNeedsWAL(rel))
- {
- XLogRecPtr recptr;
-
recptr = gistXLogUpdate(buffer,
todelete, ntodelete,
NULL, 0, InvalidBuffer);
- PageSetLSN(page, recptr);
- }
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
@@ -657,8 +660,11 @@ gistdeletepage(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
if (RelationNeedsWAL(info->index))
recptr = gistXLogPageDelete(leafBuffer, txid, parentBuffer, downlink);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(info->index));
else
recptr = gistGetFakeLSN(info->index);
+
PageSetLSN(parentPage, recptr);
PageSetLSN(leafPage, recptr);
--
2.20.1
On Thu, Mar 11, 2021 at 10:31:28PM -0500, Bruce Momjian wrote:
I have made significant progress on the cluster file encryption feature so
it is time for me to post a new set of patches.
Here is a rebase, to keep the cfbot green.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Attachments:
cfe-11-persistent_over_cfe-10-hint.difftext/x-diff; charset=us-asciiDownload
From 110358c9ce8764f0c41c12dd37dabde57a92cf1f Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Mon, 15 Mar 2021 10:20:32 -0400
Subject: [PATCH] cfe-11-persistent_over_cfe-10-hint squash commit
---
src/backend/access/gist/gistutil.c | 2 +-
src/backend/access/heap/heapam_handler.c | 2 +-
src/backend/catalog/pg_publication.c | 2 +-
src/backend/commands/tablecmds.c | 10 +++++-----
src/backend/optimizer/util/plancat.c | 3 +--
src/backend/utils/cache/relcache.c | 2 +-
src/include/utils/rel.h | 10 ++++++++--
src/include/utils/snapmgr.h | 3 +--
8 files changed, 19 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/gistutil.c b/src/backend/access/gist/gistutil.c
index a3ec9f2cfe..1ff1bf816f 100644
--- a/src/backend/access/gist/gistutil.c
+++ b/src/backend/access/gist/gistutil.c
@@ -1036,7 +1036,7 @@ gistGetFakeLSN(Relation rel)
return counter++;
}
- else if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+ else if (RelationIsPermanent(rel))
{
/*
* WAL-logging on this relation will start after commit, so its LSNs
diff --git a/src/backend/access/heap/heapam_handler.c b/src/backend/access/heap/heapam_handler.c
index bd5faf0c1f..0da8f00443 100644
--- a/src/backend/access/heap/heapam_handler.c
+++ b/src/backend/access/heap/heapam_handler.c
@@ -660,7 +660,7 @@ heapam_relation_copy_data(Relation rel, const RelFileNode *newrnode)
* WAL log creation if the relation is persistent, or this is the
* init fork of an unlogged relation.
*/
- if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT ||
+ if (RelationIsPermanent(rel) ||
(rel->rd_rel->relpersistence == RELPERSISTENCE_UNLOGGED &&
forkNum == INIT_FORKNUM))
log_smgrcreate(newrnode, forkNum);
diff --git a/src/backend/catalog/pg_publication.c b/src/backend/catalog/pg_publication.c
index 84d2efcfd2..86e415af89 100644
--- a/src/backend/catalog/pg_publication.c
+++ b/src/backend/catalog/pg_publication.c
@@ -67,7 +67,7 @@ check_publication_add_relation(Relation targetrel)
errdetail("System tables cannot be added to publications.")));
/* UNLOGGED and TEMP relations cannot be part of publication. */
- if (targetrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(targetrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_PARAMETER_VALUE),
errmsg("table \"%s\" cannot be replicated",
diff --git a/src/backend/commands/tablecmds.c b/src/backend/commands/tablecmds.c
index 559fa1d2e5..3dcd797cae 100644
--- a/src/backend/commands/tablecmds.c
+++ b/src/backend/commands/tablecmds.c
@@ -8553,13 +8553,13 @@ ATAddForeignKeyConstraint(List **wqueue, AlteredTableInfo *tab, Relation rel,
switch (rel->rd_rel->relpersistence)
{
case RELPERSISTENCE_PERMANENT:
- if (pkrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(pkrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("constraints on permanent tables may reference only permanent tables")));
break;
case RELPERSISTENCE_UNLOGGED:
- if (pkrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT
+ if (!RelationIsPermanent(pkrel)
&& pkrel->rd_rel->relpersistence != RELPERSISTENCE_UNLOGGED)
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
@@ -13598,7 +13598,7 @@ index_copy_data(Relation rel, RelFileNode newrnode)
* WAL log creation if the relation is persistent, or this is the
* init fork of an unlogged relation.
*/
- if (rel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT ||
+ if (RelationIsPermanent(rel) ||
(rel->rd_rel->relpersistence == RELPERSISTENCE_UNLOGGED &&
forkNum == INIT_FORKNUM))
log_smgrcreate(&newrnode, forkNum);
@@ -15035,7 +15035,7 @@ ATPrepChangePersistence(Relation rel, bool toLogged)
if (toLogged)
{
- if (foreignrel->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT)
+ if (!RelationIsPermanent(foreignrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("could not change table \"%s\" to logged because it references unlogged table \"%s\"",
@@ -15045,7 +15045,7 @@ ATPrepChangePersistence(Relation rel, bool toLogged)
}
else
{
- if (foreignrel->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+ if (RelationIsPermanent(foreignrel))
ereport(ERROR,
(errcode(ERRCODE_INVALID_TABLE_DEFINITION),
errmsg("could not change table \"%s\" to unlogged because it references logged table \"%s\"",
diff --git a/src/backend/optimizer/util/plancat.c b/src/backend/optimizer/util/plancat.c
index c5947fa418..7f2e40ae39 100644
--- a/src/backend/optimizer/util/plancat.c
+++ b/src/backend/optimizer/util/plancat.c
@@ -126,8 +126,7 @@ get_relation_info(PlannerInfo *root, Oid relationObjectId, bool inhparent,
relation = table_open(relationObjectId, NoLock);
/* Temporary and unlogged relations are inaccessible during recovery. */
- if (relation->rd_rel->relpersistence != RELPERSISTENCE_PERMANENT &&
- RecoveryInProgress())
+ if (!RelationIsPermanent(relation) && RecoveryInProgress())
ereport(ERROR,
(errcode(ERRCODE_FEATURE_NOT_SUPPORTED),
errmsg("cannot access temporary or unlogged relations during recovery")));
diff --git a/src/backend/utils/cache/relcache.c b/src/backend/utils/cache/relcache.c
index 7ef510cd01..a4dbc286cb 100644
--- a/src/backend/utils/cache/relcache.c
+++ b/src/backend/utils/cache/relcache.c
@@ -2989,7 +2989,7 @@ static void
AssertPendingSyncConsistency(Relation relation)
{
bool relcache_verdict =
- relation->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT &&
+ RelationIsPermanent(relation) &&
((relation->rd_createSubid != InvalidSubTransactionId &&
RELKIND_HAS_STORAGE(relation->rd_rel->relkind)) ||
relation->rd_firstRelfilenodeSubid != InvalidSubTransactionId);
diff --git a/src/include/utils/rel.h b/src/include/utils/rel.h
index 10b63982c0..9a3a03e520 100644
--- a/src/include/utils/rel.h
+++ b/src/include/utils/rel.h
@@ -552,6 +552,13 @@ typedef struct ViewOptions
(relation)->rd_smgr->smgr_targblock = (targblock); \
} while (0)
+/*
+ * RelationIsPermanent
+ * True if relation is permanent.
+ */
+#define RelationIsPermanent(relation) \
+ ((relation)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT)
+
/*
* RelationNeedsWAL
* True if relation needs WAL.
@@ -561,8 +568,7 @@ typedef struct ViewOptions
* RelFileNode" in src/backend/access/transam/README.
*/
#define RelationNeedsWAL(relation) \
- ((relation)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT && \
- (XLogIsNeeded() || \
+ (RelationIsPermanent(relation) && (XLogIsNeeded() || \
(relation->rd_createSubid == InvalidSubTransactionId && \
relation->rd_firstRelfilenodeSubid == InvalidSubTransactionId)))
diff --git a/src/include/utils/snapmgr.h b/src/include/utils/snapmgr.h
index 2c8b881a09..f66ac58188 100644
--- a/src/include/utils/snapmgr.h
+++ b/src/include/utils/snapmgr.h
@@ -37,8 +37,7 @@
*/
#define RelationAllowsEarlyPruning(rel) \
( \
- (rel)->rd_rel->relpersistence == RELPERSISTENCE_PERMANENT \
- && !IsCatalogRelation(rel) \
+ RelationIsPermanent(rel) && !IsCatalogRelation(rel) \
&& !RelationIsAccessibleInLogicalDecoding(rel) \
)
--
2.20.1
cfe-12-gist_over_cfe-11-persistent.difftext/x-diff; charset=us-asciiDownload
From 235b1763416875c11ee3ba288d8b2eb38c2cbbfd Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Mon, 15 Mar 2021 10:20:35 -0400
Subject: [PATCH] cfe-12-gist_over_cfe-11-persistent squash commit
---
src/backend/access/gist/README | 10 ++++++++++
src/backend/access/gist/gist.c | 21 +++++++++++++++------
src/backend/access/gist/gistbuild.c | 9 ++++++---
src/backend/access/gist/gistvacuum.c | 18 ++++++++++++------
4 files changed, 43 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/README b/src/backend/access/gist/README
index 25cab0047b..6b1f84634f 100644
--- a/src/backend/access/gist/README
+++ b/src/backend/access/gist/README
@@ -461,6 +461,16 @@ value. The page is not recycled, until that XID is no longer visible to
anyone. That's much more conservative than necessary, but let's keep it
simple.
+GiST and Encryption
+-------------------
+
+GiST uses LSNs and NSNs for concurrency. This means that unlogged and
+temporary relations also need LSNs. GiST has a mechanism to assign LSNs
+to such relations, but sometimes uses fixed LSNs and or calls
+gistGetFakeLSN(), which can cause duplicate LSNs to be used. Therefore,
+when encryption is enabled and fake LSNs are needed, the GiST code calls
+LSNForEncryption(). See src/backend/crypto/README for more details.
+
Authors:
Teodor Sigaev <teodor@sigaev.ru>
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 0683f42c25..5ca5f17db3 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -501,13 +501,16 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
* we don't need to be able to detect concurrent splits yet.)
*/
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
recptr = gistXLogSplit(is_leaf,
dist, oldrlink, oldnsn, leftchildbuf,
markfollowright);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -568,7 +571,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
MarkBufferDirty(leftchildbuf);
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
@@ -586,6 +590,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
deloffs, ndeloffs, itup, ntup,
leftchildbuf);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -1665,6 +1671,8 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
if (ndeletable > 0)
{
+ XLogRecPtr recptr;
+
TransactionId latestRemovedXid = InvalidTransactionId;
if (XLogStandbyInfoActive() && RelationNeedsWAL(rel))
@@ -1690,16 +1698,17 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
/* XLOG stuff */
if (RelationNeedsWAL(rel))
{
- XLogRecPtr recptr;
-
recptr = gistXLogDelete(buffer,
deletable, ndeletable,
latestRemovedXid);
- PageSetLSN(page, recptr);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
}
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index 1054f6f1f2..a8b82483e8 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -299,7 +299,8 @@ gistbuild(Relation heap, Relation index, IndexInfo *indexInfo)
GISTInitBuffer(buffer, F_LEAF);
MarkBufferDirty(buffer);
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(index)));
UnlockReleaseBuffer(buffer);
@@ -451,7 +452,8 @@ gist_indexsortbuild(GISTBuildState *state)
/* Write out the root */
RelationOpenSmgr(state->indexrel);
- PageSetLSN(pagestate->page, GistBuildLSN);
+ PageSetLSN(pagestate->page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(pagestate->page, GIST_ROOT_BLKNO);
smgrwrite(state->indexrel->rd_smgr, MAIN_FORKNUM, GIST_ROOT_BLKNO,
pagestate->page, true);
@@ -573,7 +575,8 @@ gist_indexsortbuild_flush_ready_pages(GISTBuildState *state)
if (blkno != state->pages_written)
elog(ERROR, "unexpected block number to flush GiST sorting build");
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(page, blkno);
smgrextend(state->indexrel->rd_smgr, MAIN_FORKNUM, blkno, page, true);
diff --git a/src/backend/access/gist/gistvacuum.c b/src/backend/access/gist/gistvacuum.c
index 0663193531..f783edd627 100644
--- a/src/backend/access/gist/gistvacuum.c
+++ b/src/backend/access/gist/gistvacuum.c
@@ -174,6 +174,8 @@ gistvacuumscan(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
vstate.callback_state = callback_state;
if (RelationNeedsWAL(rel))
vstate.startNSN = GetInsertRecPtr();
+ else if (FileEncryptionEnabled)
+ vstate.startNSN = LSNForEncryption(RelationIsPermanent(rel));
else
vstate.startNSN = gistGetFakeLSN(rel);
@@ -353,6 +355,8 @@ restart:
*/
if (ntodelete > 0)
{
+ XLogRecPtr recptr;
+
START_CRIT_SECTION();
MarkBufferDirty(buffer);
@@ -361,16 +365,15 @@ restart:
GistMarkTuplesDeleted(page);
if (RelationNeedsWAL(rel))
- {
- XLogRecPtr recptr;
-
recptr = gistXLogUpdate(buffer,
todelete, ntodelete,
NULL, 0, InvalidBuffer);
- PageSetLSN(page, recptr);
- }
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
@@ -657,8 +660,11 @@ gistdeletepage(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
if (RelationNeedsWAL(info->index))
recptr = gistXLogPageDelete(leafBuffer, txid, parentBuffer, downlink);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(info->index));
else
recptr = gistGetFakeLSN(info->index);
+
PageSetLSN(parentPage, recptr);
PageSetLSN(leafPage, recptr);
--
2.20.1
cfe-13-rel_over_cfe-12-gist.diff.gzapplication/gzipDownload
�6mO`�cfe-13-rel_over_cfe-12-gist.diff��<iw�F���_��l<�x��H�Y;�A�
�ZQ9v�yx
�I"�-+q��oUu�IRN��}�g��������
:���Zk�7z����N���G
����0��ag�C�#,v��l"��=`�����������kv��L@��l��7���
���
����P�F,u�>dW����6kk�;����5����OV�O�
_� n��O�����h��
_8��A�:��4fv������
;��o4���
}�h��-��v��M��^�����Y��-����Z�4E�5���a�����I6�2V�c�P����B�9����|&�L��v����/[�x��P�w���2���B��5�2��������=V+�6X�����%�C��_�>:�Lq�;Yp�������o �
oL
r��
B����r�7��e����������C
�7VS��������oz���4���
��O|�y�c������X�b�*T����3���P�9>D�����-�,��u�3�0�����aZ�%�K��������%���f�R[6�(�5��%�;�9�m��xQ|Z���<Yg����$8K$��S�qH�x@��y�����1`���3a�Y����F�=7���u�0K8B^hT��-{:e
0|!��R+g����]K|dVw`
1
v�M��z��G�.�a���� ��} ��i���f��`P
��������E�e�T�G�-���������B?;9���������y��xr9�=�����|����\�b����
s��$�pnL|.{��wt~:o��
�4 ��_���\R���t�)*
r�q�����������o��,Z�8�����
+r�u@�/������~5�?�=��'���o�_�t8�D��sa>�E~�����{�{2�r��[���Zv�E(�0
WV
��A��g
�������a
�����������g�&�e�Lk�'jlP�yh��i{`���|������fnA$�s
j����C S��
�)�$��
1$�T�<�lb�"�\d��:�O�'���80!�!��SV��T�J2��]�>{�^���WJ�G.7
���b��\N��k/�q��k�J�"����-{{� ��#�k��w���T5^
���Ko6Y:v��u�F�,5��:�
����@���b7GLCs���
�����s
tv63�*$>�����$����������v��������O
�������^�sa/��B����6&����c�U���"��
_2�Nop�o]�1����"�;���9�
m�A����p��;�����x���c;*����N^����C��
@��V3u������6
��G0�W�
8���mU@��]-������~�1���nb�����~�d�}��@|�&�O4I=&���p������L�@ibv"�F�6T���$9�}\+6���vek���L��?�z���h+�,mh�6�E���yp����I��o��
R��vz��6���� x���AJ�m{�A��
���[�G�Q�V��:�V�T�u���dd+�Er�Y
wa]��4��xe��,V ���1�� wR���V�f�,X�����
��3�Z��"F\���b��aS���f$��9��y�M� �* ���V���+TI��RB��O����oR|��$
96_
��7�
Y�%2��~wss�=��M\4v�|d&M�!�g�DHn6���`�z}8����>uV�\���tBV�����Y�����?J}��������Y�-��2e�
k�����������C-�`���JH��,��nu �bl�e��)��;�G��`0
4��
�5�z|�C�"+�Y@��h�C�7�9�}�#��!�0!$a� �O�������/���v�n���3���8�\��P~��h is�Z�6c�M��&]���/���"
q��)��c7��������S��B���i��l��Fo����]=���5$�J��:� G�"0B�����OiC�`!%������t�Gyc��X���4-�(�����$fJ�H�Fo1-���/6:���Z[�d�
�
�G
U
���������������
�t)t
���4�}������J�,�"��8��4��,�
2�
K�_)���������,+-�
�lJ��Yr�����h�0�v��u��
����i�zZ��o��Yd��>
H�����{?�7#��P|�������e���g�S��������u�PJKAG���/:��f�2����v��s�vPSIv�pPow�0��!0F;��OL:��nm
�iD���.������U^<*`�������]�T�-��Qd]�Ei�������
S�s�
�@@����a���CQi>��x
��M{��d�[j���%E�I:r0�jk�XG
�����7r'�#�KQ����8�t��[[7CAcB�Z�����L���{��h6� t��j�[7D��-Q�+����z��������t�6h�G�h�3j�K��
��/���Zt�h�P��Sv*�x�$��F��
���j� ������j�
1��u�,��e���h7I���� ��
���w����r6��'KL���
"�i
/G��*p���{Q�^2������6�z�'V i��jw�4��9x6������7���?O
���R�
y���7Ka�E��nZ�4����Cnh
�z{Z
j���5���7����f�d�\V��&�����r�K��\�����
m'h�_��d���[�����\����
|[����5�F/���������T�"w}&^�i���"i������� ��a�^���t�J�������4c���0R����
�qB�p���a
�N�.��S
������J���y��y���m
�3�}���Q�{���r})����b8dm�
.���E5��L���<�+k��i��R8l
h�����3����������=���K�9��6�\�4�TR��Ic��(�5�� q�CJ;���ZG3������K'C;��P�*^E���[>M$der5�c(��%�XAX_Wt���B@�50o�K�QY����)}@�<��=��5��\X��4y(};�V�����������r7������{A
@o�
�-q2�
g)���(
�)o����vt7?�>
�����zt}�
�h�ea� �_BvV�����,`�"|�����7g#����X?������~tV���-�Y��-O(d:c��*4����~$�/���6����Z�;����%cW�� �#�I���U�cg�@ �
o:�� ��3��������d���Mw�������u�,�s����� 6$�Y,;9A�
�.x'�zK��c�x��l���>����U� UB �k�
��r��� �_�e@=����q{�Fhbt�j�B7[�����}��^������<[��f4�
��MLnY�C
�r��3 C����c�9��Z���G��k����x���H�i���Omh`Yd���?.����a��[bh�.|o��������||z|?���K�k6�������&gE�����7R>��r���|H�mw������_��PuK
���k>/�;��BZ��� �p]���\K�yV��A�2JX�}�a�e�X�c��>��g��<@�t��
��
�9L�7�2�R<������s0}:x�������v ����m����
��H���1���Cz����t;;��s��� ���`���������g"}?�
cf��������MU���eO:�g��@��*{�p����h[��5lL��vJ��^<���$�(l(o��E��]
c�Z
�/DX*��.�������g��/U
Y�u��t3��K�Vn/�������~<����w)�+i�AB �6��[L^u�[��MEM�����f*�������U<KM���1|�&#���Q|��C�`:,QH�or�2%\��3�Qh�>��\����e��L*�F�����kfa��40����g-������D����:�� ���z`/l��J��N�bB)�jvY+�
�a����a�2.���"6� ��N���f
�Rc�\+�8O4@���
J�^%
M�*7`��GSH9a{��=�'s�f �W ��fU"{�=�����0�&������uLS'��IMz�D
b u.�����d)�ly����
����O�@"���h�(9�� ~�c0�
iS�f0
�
jpB��Xh/.�5�EYN�`5kt�t�Cja+jh%�0�DF�2�������X�^/��Ea�
����
pS�l��
C� ��,��j
� d��J\DL�� ��O<%z����(�p
�vQ�_���J
�@H>��� ����'T|��`��
�����?���Ze�>��V��(+�x`�$�����
��A���F��f�^�3j��r�J&X�������7��\�1�Bd�
����|M&1?R*<:��M�P��"�9_�:���j��VR�vR����]��G�q >HSg+���������VCA�
��`���!��B�(�����Zfi�E�����D%�L��0�
��������7��"�O����
����:���r|q]A�y�J^v�.X��+\��D�x���� �o4�R:�
�W��i�����~2��:���j������
���%
�Fi~�c4�Z�Y���ad�XT
%������y��X�1
��/B��)���2��C����v���E
>���q3M�r�JM������A
��J�p�I�����"�\p/��!
�����`���j�4����h�}�z���$
�^T�"�������XL
���b�-6��?K�U����_���*��YEV�������*3�EF�� ��u'Rb���r�M q�^�V��*i�
0��<��V�T��E�.�
����#�,��\>U�u��B���XJ�r��GZZ��Ow*��k�#{������~<��w�*
��JV�����`f~���thv��*�@�''����8Z�l2:lD �� ��U(�P���(|��sP|
�V�
>�%�"
2^���! ��l%�Z$���T�`Y���� �Z��� ��h/V
�����A�Z$),�����:Zo��S
m�p����~�����8V����[�w9�]�Ti��t{Fw�7�����V�kpmC�P�|��
R>�������+�$���I{Y|]V7�wV��
U���a�U8/�A�� w����O���<(�� �]��+��}f����� ~�Q>���%�����KdAt��.��!��{��"yoS�D�_p1v���g�a��v��l��~����A�2ly�*������;��U��]p�>K�F���kVI�EF�
����
��H�Q7K�������%�@���9m������^����?C�(y(�����
���
���z%<bF�=^v��P�%'��C9�e�5��8�3�����`���
/�*���p
'=���9���o�u���*�}���@�%{X��O����5���w��u��S�R~�q&�
� fH��nU�5���;��`�;
+�t��
}V������l��
�0��mR�H���N����*
{��P�H�� ������{�O����
2�=����P�_^T}H<�#$o�<1x�Q3��
��@�V�������B���B��$.1,�
��`n���vf~W�
?���,UI�����]��QUF5h��-`Q��d�(d���D��NHy<z���"C$��=��"P����Z{�F��g�W�^�+��,��$��
��P�?6(� E2V�UQJ�h��{_�>%�Y�]dm�
�=g�=��
�`�g�[��<�.���y�����rkt�r5��� Z>���� %����Zw��T��`�p�����kh.O�]]_:����jr������Q�D0PVkauv{C�w{�1��4]�����V(��
9'0�p�j-W��y��X
p9�u��&����/��w �_�|�"JI������*�k�)��� gM������}� �G�NP/-����8��{{e4%�����*1�N�����Q�,��]�/����]R��V�b�%0� ��/P�o��;AaG�._��gN����
��UZ�uM�o � ��������5�a
/�a-^���upqj�\\�e�7�C ���C�������rt�t��,mI��vH���b!��6L�s�[zT��p?�~%��& &����f�S��>�rWN}E�� �O�{����j-��O���M'�v�I�j�{h�d���,�m�D*��;��3/���V����!
Z*(�%����LB�
��4���@������?�����GZ��FT8?�����V���D������G��RrS��*����qw
� b\�mV�Rj���l*�`��D��M�J�@>W���r����=^;�%�������$�Ry�7I�;_���;�������CU�;�_g��E@\�}2������s���,�2�G�%��������p�g0)N�g��a����8�E�����9��=���ZB���LY�u�\����\��(�r�2C
�
5���5t �G��!��x
�}��[����szsNfU4�>�D�8�����������<e=�t�����*#
��I��}O������������G��kXi�������
����N���4�P�e���h?yO�.��������c����p��_��Z�i�dS����n���������p���#+��#xQr���|u�k����'�kg�lG�|z1����k^y�A�u>��Y'_����Z�
U�|�"zq�/�v!I�Zg�qP��F�����3��
.�4!�������s�����7��^��]�����"g>�>��hb������[�q.�}��Y��J�_2Qh
���l�G[>
�q�n�``�����B&<������(���)X��T�����U�j���t���-�����vq���a$�AlL�����>�8��o
6�w���l�UL�������l�A�y�����
�\k��$ w�\I
�
����hC���?���q�5
���� �
Nq^[�V�����c8������72@��"�.�<����>�oy��|6��{���hY����G:����A�=�.������;�����B�S:_u�s
��H<8�� �|��o(�eQ/ �*d��R Gj�0����K7���������� x=��������m��>�Yy�g����e����f������)%��,��
~gp-���my
��~�m>+�=B���h�����0�M7��� ��X����H�2
E���,1�W:�iZ/
V��d�
���L�y����k�{|o��{�]NJdh@��~���TvL�'�n�����S�t��0CT�
��d2�!]�7y��O G�+Xce�)�4�r�� �~�p.W�f��R��g�b,�0`4���!��*pE�l�"�xm>�K���POf�
F\B��
}���(
�v��.4k�k7zI�X ���2Dbg.�jrLP��]�L�
[�����ZF���H |����]e*vr�1"e�����c��������/'
��x��
�
}y�x��8_G���0��ZuC�����i �?<S<R����X$�A���?�����l���)i!e��1�m���3~&C�d��K� �
�f���hE��]����f�h��`��kC67<���KQ�L/Q�%/��H2������J�����QB���BI���BO�n�6���o��h�����l������
�
���
�`�ISb��o[O�(PO(V��
0�S�K��.S����-��[��lV:�H� T�du�Z�R��������0�u|�=�
[�v��
���W�K���|�$�&�j�S
�$�L���� r�-���C���.�G��gn�s�>������c�������a�+XE
q~�e�@��4) 0V�-��\T�.��^T��G^�=uh�������G0�z�m�^��JT��
>��i�����'
1'"���X�c�����{`�\�oH��.l ������|RV?�P\�������k��MILgwC
tM�=�\L�'gIj�R��/^,����T������Wd�����y}ryz�z���Q�$��E�B�%*>@���(,=Q/~��l��t
��c��h#�
u����k��J�x�xJ�usj
X[����C1P*UC ��(d�4�u�
�0����`ua�)�5��(��P~����y)
� �j���� ?1#�:}(�+�����������F�Y��:���7�������&>D��by-��(-����Y�����}�B�~���I��
~�r��9*�����6���Rc���#F4y�SSf
����D2%�t�����:�&
����6
��t����Y%��2Y?^�R�54&yad���P�Z��.�^>��~�l�
{�p�Z�� ����+�
����x>
�P���l�P;������$ ���er6R7�
�:y=6o���:�����(
���(�l�A��O$$�n�k3��3W��g���g������-��S4�����
�]���"��%�[�f>����{����"u
�7������Ra�A �/��Lu�LH_��V�zJm�G��)&
�W��1���
�p2u��6�$ ��
P�� 31L d4���+����%�*4�����T� ���Wb}3�5p������C+\�[�>�����yl�K_R�w��?� {}E�
�J��u��,�5��X�l��Y��������
�#��e�Z��� �Q�y�����h~����~S������T����[�q<Eh�a�/19�n�%TM��^3,���Oa+*&^�pyS-��i��Tf��G����5�x
�QT�������w}
49j�6}�B�iq������7
�-�"���:�o��Z� �q.��#k�
������q�X+�
I�
��}���,6�B
m?���
����QF����R$�<b��>�_C\�Y��I8���;����j
c�F~do�G:�r|���O���4�:�������v4[L����;0C2��D�Xa&U$
Q����:�����_Y��M���Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Mar 11, 2021 at 10:31:28PM -0500, Bruce Momjian wrote:
I have made significant progress on the cluster file encryption feature so
it is time for me to post a new set of patches.Here is a rebase, to keep the cfbot green.
Good stuff.
From 110358c9ce8764f0c41c12dd37dabde57a92cf1f Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Mon, 15 Mar 2021 10:20:32 -0400
Subject: [PATCH] cfe-11-persistent_over_cfe-10-hint squash commit---
src/backend/access/gist/gistutil.c | 2 +-
src/backend/access/heap/heapam_handler.c | 2 +-
src/backend/catalog/pg_publication.c | 2 +-
src/backend/commands/tablecmds.c | 10 +++++-----
src/backend/optimizer/util/plancat.c | 3 +--
src/backend/utils/cache/relcache.c | 2 +-
src/include/utils/rel.h | 10 ++++++++--
src/include/utils/snapmgr.h | 3 +--
8 files changed, 19 insertions(+), 15 deletions(-)
This particular patch (introducing the RelationIsPermanent() macro)
seems like it'd be a nice thing to commit independently of the rest,
reducing the size of this patch set..?
Thanks!
Stephen
On Thu, Mar 18, 2021 at 11:31:34AM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Mar 11, 2021 at 10:31:28PM -0500, Bruce Momjian wrote:
I have made significant progress on the cluster file encryption feature so
it is time for me to post a new set of patches.Here is a rebase, to keep the cfbot green.
Good stuff.
Yes, I was happy I got to a stage where the encryption actually did
something useful.
From 110358c9ce8764f0c41c12dd37dabde57a92cf1f Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Mon, 15 Mar 2021 10:20:32 -0400
Subject: [PATCH] cfe-11-persistent_over_cfe-10-hint squash commit---
src/backend/access/gist/gistutil.c | 2 +-
src/backend/access/heap/heapam_handler.c | 2 +-
src/backend/catalog/pg_publication.c | 2 +-
src/backend/commands/tablecmds.c | 10 +++++-----
src/backend/optimizer/util/plancat.c | 3 +--
src/backend/utils/cache/relcache.c | 2 +-
src/include/utils/rel.h | 10 ++++++++--
src/include/utils/snapmgr.h | 3 +--
8 files changed, 19 insertions(+), 15 deletions(-)This particular patch (introducing the RelationIsPermanent() macro)
seems like it'd be a nice thing to commit independently of the rest,
reducing the size of this patch set..?
OK, if no one objects I will apply it in the next few days. The macro is
used more in my later patches, which I will not apply now.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Patch 10 uses the term "WAL-skip relations". What does that mean? Is
it "relations that are not WAL-logged"? I suppose we already have a
term for this; I'm not sure it's a good idea to invent a different term
that is only used in this new place.
--
�lvaro Herrera 39�49'30"S 73�17'W
Greetings,
* Alvaro Herrera (alvherre@alvh.no-ip.org) wrote:
Patch 10 uses the term "WAL-skip relations". What does that mean? Is
it "relations that are not WAL-logged"? I suppose we already have a
term for this; I'm not sure it's a good idea to invent a different term
that is only used in this new place.
This is discussed in src/backend/access/transam/README, specifically the
section that talks about Skipping WAL for New RelFileNode. Basically,
it's the 'wal_level=minimal' optimization which allows WAL to be
skipped.
Thanks!
Stephen
On 2021-Mar-18, Stephen Frost wrote:
* Alvaro Herrera (alvherre@alvh.no-ip.org) wrote:
Patch 10 uses the term "WAL-skip relations". What does that mean? Is
it "relations that are not WAL-logged"? I suppose we already have a
term for this; I'm not sure it's a good idea to invent a different term
that is only used in this new place.This is discussed in src/backend/access/transam/README, specifically the
section that talks about Skipping WAL for New RelFileNode. Basically,
it's the 'wal_level=minimal' optimization which allows WAL to be
skipped.
Hmm ... that talks about WAL-skipping *changes*, not WAL-skipping
*relations*. I thought WAL-skipping meant unlogged relations, but
I understand now that that's unrelated. In the transam/README, WAL-skip
means a change in a transaction in a relfilenode that, if rolled back,
would disappear; and I'm not sure I understand how the code is handling
the case that a relation is under that condition.
This caught my attention because a comment says "encryption does not
support WAL-skipped relations", but there's no direct change to the
definition of RelFileNodeSkippingWAL() to account for that. Perhaps I
am just overlooking something, since I'm just skimming anyway.
--
�lvaro Herrera Valdivia, Chile
Greetings,
* Alvaro Herrera (alvherre@alvh.no-ip.org) wrote:
On 2021-Mar-18, Stephen Frost wrote:
* Alvaro Herrera (alvherre@alvh.no-ip.org) wrote:
Patch 10 uses the term "WAL-skip relations". What does that mean? Is
it "relations that are not WAL-logged"? I suppose we already have a
term for this; I'm not sure it's a good idea to invent a different term
that is only used in this new place.This is discussed in src/backend/access/transam/README, specifically the
section that talks about Skipping WAL for New RelFileNode. Basically,
it's the 'wal_level=minimal' optimization which allows WAL to be
skipped.Hmm ... that talks about WAL-skipping *changes*, not WAL-skipping
*relations*. I thought WAL-skipping meant unlogged relations, but
I understand now that that's unrelated. In the transam/README, WAL-skip
means a change in a transaction in a relfilenode that, if rolled back,
would disappear; and I'm not sure I understand how the code is handling
the case that a relation is under that condition.This caught my attention because a comment says "encryption does not
support WAL-skipped relations", but there's no direct change to the
definition of RelFileNodeSkippingWAL() to account for that. Perhaps I
am just overlooking something, since I'm just skimming anyway.
This is relatively current activity and so it's entirely possible
comments and perhaps code need further updating in this area, but to
explain what's going on in a bit more detail-
Ultimately, we need to make sure that LSNs aren't re-used. There's two
sources of LSNs today: those for relations which are being written into
the WAL and those for relations which are not (UNLOGGED relations,
specifically). The 'minimal' WAL level introduces complications with
this requirement because tables created (or truncated) inside a
transaction are considered permanent once they're committed, but the
data pages in those relations don't go into the WAL and the LSNs on the
pages of those relations isn't guaranteed to be either unique or even
necessarily set, and if we were to generate LSNs for those it would be
required to be done by actually advancing the WAL LSN, which would
require writing into the WAL and therefore wouldn't be quite the
optimization that's expected.
I'm not sure if it's been explicitly done yet but I believe the idea is,
based on my last discussion with Bruce, at least initially, simply
disallow encrypted clusters from running with wal_level=minimal to avoid
this issue.
Thanks,
Stephen
On Thu, Mar 18, 2021 at 02:37:43PM -0300, �lvaro Herrera wrote:
On 2021-Mar-18, Stephen Frost wrote:
This is discussed in src/backend/access/transam/README, specifically the
section that talks about Skipping WAL for New RelFileNode. Basically,
it's the 'wal_level=minimal' optimization which allows WAL to be
skipped.Hmm ... that talks about WAL-skipping *changes*, not WAL-skipping
*relations*. I thought WAL-skipping meant unlogged relations, but
I understand now that that's unrelated. In the transam/README, WAL-skip
means a change in a transaction in a relfilenode that, if rolled back,
would disappear; and I'm not sure I understand how the code is handling
the case that a relation is under that condition.This caught my attention because a comment says "encryption does not
support WAL-skipped relations", but there's no direct change to the
definition of RelFileNodeSkippingWAL() to account for that. Perhaps I
am just overlooking something, since I'm just skimming anyway.
First, thanks for looking at these patches --- I know it isn't easy.
Second, you are right that I equated WAL-skipping relfilenodes with
relations, and this was wrong. I have updated the attached patch to use
the term WAL-skipping "relfilenodes", and checked the rest of the
patches for any incorrect 'skipping' term, but didn't find any.
If "WAL-skipping relfilenodes" is not clear enough, we should probably
rename RelFileNodeSkippingWAL().
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Attachments:
On Thu, Mar 18, 2021 at 01:46:28PM -0400, Stephen Frost wrote:
* Alvaro Herrera (alvherre@alvh.no-ip.org) wrote:
This caught my attention because a comment says "encryption does not
support WAL-skipped relations", but there's no direct change to the
definition of RelFileNodeSkippingWAL() to account for that. Perhaps I
am just overlooking something, since I'm just skimming anyway.This is relatively current activity and so it's entirely possible
comments and perhaps code need further updating in this area, but to
explain what's going on in a bit more detail-Ultimately, we need to make sure that LSNs aren't re-used. There's two
sources of LSNs today: those for relations which are being written into
the WAL and those for relations which are not (UNLOGGED relations,
specifically). The 'minimal' WAL level introduces complications with
Well, the story is a little more complex than that --- we currently have
four LSN uses:
1. real LSNs for WAL-logged relfilenodes
2. real LSNs for GiST indexes for non-WAL-logged relfilenodes of permanenet relations
3. fake LSNs for GiST indexes for relfilenodes of non-permanenet relations
4. zero LSNs for non-GiST non-permanenet relations
This patch changes it so #4 gets fake LSNs, and slightly adjusts #2 & #3
so the LSNs are always unique.
I'm not sure if it's been explicitly done yet but I believe the idea is,
based on my last discussion with Bruce, at least initially, simply
disallow encrypted clusters from running with wal_level=minimal to avoid
this issue.
I adjusted the hint bit code so it potentially could work with wal_level
minimal (just for safety), but the code disallows wal_level minimal, and
is documented as such.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Mar 18, 2021 at 11:31:34AM -0400, Stephen Frost wrote:
src/backend/access/gist/gistutil.c | 2 +-
src/backend/access/heap/heapam_handler.c | 2 +-
src/backend/catalog/pg_publication.c | 2 +-
src/backend/commands/tablecmds.c | 10 +++++-----
src/backend/optimizer/util/plancat.c | 3 +--
src/backend/utils/cache/relcache.c | 2 +-
src/include/utils/rel.h | 10 ++++++++--
src/include/utils/snapmgr.h | 3 +--
8 files changed, 19 insertions(+), 15 deletions(-)This particular patch (introducing the RelationIsPermanent() macro)
seems like it'd be a nice thing to commit independently of the rest,
reducing the size of this patch set..?
Committed as suggested.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Mon, Mar 22, 2021 at 08:38:37PM -0400, Bruce Momjian wrote:
This particular patch (introducing the RelationIsPermanent() macro)
seems like it'd be a nice thing to commit independently of the rest,
reducing the size of this patch set..?Committed as suggested.
Also, I have written a short presentation on where I think we are with
cluster file encryption:
https://momjian.us/main/writings/pgsql/cfe.pdf
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi Bruce,
I went through these patches and executed the test script you added for the
KMS section, which looks all good.
This is a point that looks like a bug - in patch 10, you changed the
location and use of *RelFileNodeSkippingWAL()*, but the modified code logic
seems different from the original when encryption is not enabled. After
applying this patch, it still will execute the set LSN code flow when
RelFileNodeSkippingWAL returns true, and encryption not enabled.
On Thu, Apr 1, 2021 at 2:47 PM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, Mar 11, 2021 at 10:31:28PM -0500, Bruce Momjian wrote:
I have made significant progress on the cluster file encryption feature
so
it is time for me to post a new set of patches.
Here is a rebase, to keep the cfbot green.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.comIf only the physical world exists, free will is an illusion.
--
There is no royal road to learning.
HighGo Software Co.
On Tue, Apr 6, 2021 at 04:56:36PM +0800, Neil Chen wrote:
Hi Bruce,
I went through these patches and executed the test script you added for the KMS
section, which looks all good.�
Thank you for checking it. The src/test/crypto/t/003_clusterkey.pl test
is one of the craziest tests I have ever written, so I am glad it worked
for you.
This is a point that looks like a bug - in patch 10, you changed the location
and use of *RelFileNodeSkippingWAL()*, but the modified code logic seems
different from the original when encryption is not enabled. After applying this
patch, it still will execute the set LSN code flow when RelFileNodeSkippingWAL
returns true, and encryption not enabled.
You are very correct. That 'return' inside the 'if' statement gave me
trouble, and MarkBufferDirtyHint() was the hardest function I had to
deal with. Attached is an updated version of patches with a rebase; the
GitHub links listed on the wiki are updated too.
Thanks for your help.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Attachments:
cfe-01-doc_over_master.difftext/x-diff; charset=us-asciiDownload
From 9e997a5f1cdd630a95dd2bd2dc7d742e9d95ef36 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:34 -0400
Subject: [PATCH] cfe-01-doc_over_master squash commit
---
doc/src/sgml/database-encryption.sgml (new) | 149 ++++++++++++++++++++
doc/src/sgml/filelist.sgml | 1 +
doc/src/sgml/installation.sgml | 2 +-
doc/src/sgml/monitoring.sgml | 13 ++
doc/src/sgml/postgres.sgml | 1 +
5 files changed, 165 insertions(+), 1 deletion(-)
diff --git a/doc/src/sgml/database-encryption.sgml b/doc/src/sgml/database-encryption.sgml
new file mode 100644
index 0000000000..c4377ada64
--- /dev/null
+++ b/doc/src/sgml/database-encryption.sgml
@@ -0,0 +1,149 @@
+<!-- doc/src/sgml/database-encryption.sgml -->
+
+<chapter id="cluster-file-encryption">
+ <title>Cluster File Encryption</title>
+
+ <indexterm zone="cluster-file-encryption">
+ <primary>Cluster File Encryption</primary>
+ </indexterm>
+
+ <para>
+ The purpose of cluster file encryption is to prevent users with read
+ access on the directories used to store database files and write-ahead
+ log files from being able to access the data stored in those files.
+ For example, when using cluster file encryption, users who have read
+ access to the cluster directories for backup purposes will not be able
+ to decrypt the data stored in these files. Read-only access for a group
+ of users can be enabled using the <application>initdb</application>
+ <option>--allow-group-access</option> option. Cluster file encryption
+ also provides data-at-rest security, protecting users from data loss
+ should the physical storage media be stolen or improperly erased before
+ disposal.
+ </para>
+
+ <para>
+ Cluster file encryption does not protect against unauthorized file
+ system writes. Such writes can allow data decryption if used to weaken
+ the system's security and the weakened system is later supplied with
+ the externally-stored cluster encryption key. This also does not always
+ detect if users with write access remove or modify database files.
+ </para>
+
+ <para>
+ This also does not protect against users who have read access to database
+ process memory because all in-memory data pages and data encryption keys
+ are stored unencrypted in memory. Therefore, an attacker who is able
+ to read memory can read the data encryption keys and decrypt the entire
+ cluster. The Postgres operating system user and the operating system
+ administrator, e.g., the <literal>root</literal> user, have such access.
+ </para>
+
+ <sect1 id="cluster-encryption-keys">
+ <title>Keys</title>
+
+ <para>
+ Cluster file encryption uses two levels of encryption — an upper
+ key which encrypts lower-level keys. The upper-level key is often
+ referred to as a Key Encryption Key (<acronym>KEK</acronym>). This key
+ is <emphasis>not</emphasis> stored in the file system, but provided at
+ <command>initdb</command> time and each time the server is started. This
+ key can be easily changed via <command>pg_alterckey</command> without
+ requiring any changes to the the data files or <command>WAL</command>
+ files.
+ </para>
+
+ <para>
+ The lower level keys are data encryption keys, specifically for relations
+ and <acronym>WAL</acronym>. The relation key is used to encrypt database
+ heap and index files. The WAL key is used to encrypt write-ahead log
+ (WAL) files. Two different keys are used so that primary and standby
+ servers can use different relation keys, but the same WAL key, so that
+ these keys can (in a future release) be rotated by switching the
+ primary to the standby and then changing the WAL key. Eventually,
+ encryption will be able to added to non-encrypted clusters by creating
+ encrypted replicas and switching over to them.
+ </para>
+
+ <para>
+ Postgres stores the data encryption (lower-level) keys in the data
+ directory encrypted (wrapped) by key encryption (upper-level) key.
+ Though the data encryption keys technically exist in the file system,
+ the key encryption key does not, so the data encryption keys are
+ securely stored. Data encryption keys are used to security encrypt
+ other database files.
+ </para>
+ </sect1>
+
+ <sect1 id="cluster-encryption-initialization">
+ <title>Initialization</title>
+
+ <para>
+ Cluster file encryption is enabled when
+ <productname>PostgreSQL</productname> is built
+ with <literal>--with-openssl</literal> and <xref
+ linkend="app-initdb-cluster-key-command"/> is specified
+ during <command>initdb</command>. The cluster key
+ provided by the <option>--cluster-key-command</option>
+ option during <command>initdb</command> and the one generated
+ by <xref linkend="guc-cluster-key-command"/> in the
+ <filename>postgresql.conf</filename> must match for the database
+ cluster to start. Note that the cluster key command
+ passed to <command>initdb</command> must return a key of
+ 64 hexadecimal characters. For example:
+<programlisting>
+initdb -D dbname --cluster-key-command='ckey_passphrase.sh'
+</programlisting>
+ Cluster file encryption does not support a <varname>wal_level</varname>
+ of <literal>minimal</literal>.
+ </para>
+ </sect1>
+
+ <sect1 id="cluster-encryption-operation">
+ <title>Operation</title>
+
+ <para>
+ During the <command>initdb</command> process, if
+ <option>--cluster-key-command</option> is specified, two data-level
+ encryption keys are created. These two keys are then encrypted with
+ the key encryption key (KEK) supplied by the cluster key command before
+ being stored in the database directory. The key or passphrase that
+ derives the key must be supplied from the terminal or stored in a
+ trusted key store, such as key vault software or a hardware security
+ module.
+ </para>
+
+ <para>
+ If the <productname>PostgreSQL</productname> server has
+ been initialized to require a cluster key, each time the
+ server starts the <filename>postgresql.conf</filename>
+ <varname>cluster_key_command</varname> command will be executed
+ and the cluster key retrieved. The data encryption keys in the
+ <filename>pg_cryptokeys</filename> directory will then be decrypted
+ using the supplied key and integrity-checked to ensure it matches the
+ initdb-supplied key. (If this check fails, the server will refuse
+ to start.) The cluster encryption key will then be removed from
+ system memory. The decrypted data encryption keys will remain in
+ shared memory until the server is stopped.
+ </para>
+
+ <para>
+ The data encryption keys are randomly generated and can be 128, 192,
+ or 256-bits in length, depending on whether <literal>AES128</literal>,
+ <literal>AES192</literal>, or <literal>AES256</literal> is specified.
+ They are encrypted by the key encryption key (KEK) using Advanced
+ Encryption Standard (<acronym>AES256</acronym>) encryption in Key
+ Wrap Padded Mode, which also provides KEK authentication; see <ulink
+ url="https://tools.ietf.org/html/rfc5649">RFC 5649</ulink>. While
+ 128-bit encryption is sufficient for most sites, 256-bit encryption
+ is thought to be more immune to future quantum cryptographic attacks.
+ </para>
+
+ <para>.
+ If you prefer to create the random keys on your own, you can create
+ a empty directory with a <filename>pg_cryptokeys/live</filename>
+ subdirectory, generate the keys there using your tools. and use the
+ <command>initdb</command> <option>--copy-encryption-keys</option>
+ to copy those keys into the newly-created cluster.
+ </para>
+ </sect1>
+</chapter>
diff --git a/doc/src/sgml/filelist.sgml b/doc/src/sgml/filelist.sgml
index 45b701426b..baf65fa24c 100644
--- a/doc/src/sgml/filelist.sgml
+++ b/doc/src/sgml/filelist.sgml
@@ -49,6 +49,7 @@
<!ENTITY wal SYSTEM "wal.sgml">
<!ENTITY logical-replication SYSTEM "logical-replication.sgml">
<!ENTITY jit SYSTEM "jit.sgml">
+<!ENTITY database-encryption SYSTEM "database-encryption.sgml">
<!-- programmer's guide -->
<!ENTITY bgworker SYSTEM "bgworker.sgml">
diff --git a/doc/src/sgml/installation.sgml b/doc/src/sgml/installation.sgml
index 66ad4ba938..405cdc2fac 100644
--- a/doc/src/sgml/installation.sgml
+++ b/doc/src/sgml/installation.sgml
@@ -976,7 +976,7 @@ build-postgresql:
<listitem>
<para>
Build with support for <acronym>SSL</acronym> (encrypted)
- connections. The only <replaceable>LIBRARY</replaceable>
+ connections and cluster file encryption. The only <replaceable>LIBRARY</replaceable>
supported is <option>openssl</option>. This requires the
<productname>OpenSSL</productname> package to be installed.
<filename>configure</filename> will check for the required
diff --git a/doc/src/sgml/monitoring.sgml b/doc/src/sgml/monitoring.sgml
index 56018745c8..418e4e2644 100644
--- a/doc/src/sgml/monitoring.sgml
+++ b/doc/src/sgml/monitoring.sgml
@@ -1302,6 +1302,19 @@ postgres 27093 0.0 0.0 30096 2752 ? Ss 11:34 0:00 postgres: ser
<entry><literal>DataFileWrite</literal></entry>
<entry>Waiting for a write to a relation data file.</entry>
</row>
+ <row>
+ <entry><literal>KeyFileRead</literal></entry>
+ <entry>Waiting for a read of the wrapped data encryption keys.</entry>
+ </row>
+ <row>
+ <entry><literal>KeyFileWrite</literal></entry>
+ <entry>Waiting for a write of the wrapped data encryption keys.</entry>
+ </row>
+ <row>
+ <entry><literal>KeyFileSync</literal></entry>
+ <entry>Waiting for changes to the wrapped data encryption keys to reach
+ durable storage.</entry>
+ </row>
<row>
<entry><literal>LockFileAddToDataDirRead</literal></entry>
<entry>Waiting for a read while adding a line to the data directory lock
diff --git a/doc/src/sgml/postgres.sgml b/doc/src/sgml/postgres.sgml
index d453be3909..628cb86098 100644
--- a/doc/src/sgml/postgres.sgml
+++ b/doc/src/sgml/postgres.sgml
@@ -171,6 +171,7 @@ break is not needed in a wider output rendering.
&wal;
&logical-replication;
&jit;
+ &database-encryption;
®ress;
</part>
--
2.20.1
cfe-02-internaldoc_over_cfe-01-doc.difftext/x-diff; charset=us-asciiDownload
From a7bbf41909d7d968f143b781fd26ae54817778ce Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:35 -0400
Subject: [PATCH] cfe-02-internaldoc_over_cfe-01-doc squash commit
---
src/backend/crypto/README (new) | 231 ++++++++++++++++++++++++++++++++
1 file changed, 231 insertions(+)
diff --git a/src/backend/crypto/README b/src/backend/crypto/README
new file mode 100644
index 0000000000..be5e5557ba
--- /dev/null
+++ b/src/backend/crypto/README
@@ -0,0 +1,231 @@
+Cluster File Encryption
+=======================
+
+This directory contains support functions and sample scripts to be used
+for cluster file encryption.
+
+Architecture
+------------
+
+Fundamentally, cluster file encryption must store data in a file system
+in such a way that the keys required to decrypt the file system data can
+only be accessed using somewhere outside of the file system itself. The
+external requirement can be someone typing in a passphrase, getting a
+key from a key management server (KMS), or decrypting a key stored in
+the file system using a hardware security module (HSM). The current
+architecture supports all of these methods, and includes sample scripts
+for them.
+
+The simplest method for accessing data keys using some external
+requirement would be to retrieve all data encryption keys from a KMS.
+However, retrieved keys would still need to be verified as valid. This
+method also introduces unacceptable complexity for simpler use-cases,
+like user-supplied passphrases or HSM usage. External key rotation
+would also be very hard since it would require re-encrypting all the
+file system data with the new externally-stored keys.
+
+For these reason, a two-tiered architecture is used, which uses two
+types of encryption keys: a key encryption key (KEK) and data encryption
+keys (DEK). The KEK should not be present unencrypted in the file system
+--- it should be supplied the user, stored externally (e.g., in a KMS)
+or stored in the file system encrypted with a HSM (e.g., PIV device).
+The DEK is used to encrypt database files and is stored in the same file
+system as the database but is encrypted using the KEK. Because the DEK
+is encrypted, its storage in the file system is no more of a security
+weakness and the storage of the encrypted database files in the same
+file system.
+
+Implementation
+--------------
+
+To enable cluster file encryption, the initdb option
+--cluster-key-command must be used, which specifies a command to
+retrieve the KEK. initdb records the cluster_key_command in
+postgresql.conf. Every time the KEK is needed, the command is run and
+must return 64 hex characters which are decoded into the KEK. The
+command is called twice during initdb, and every time the server starts.
+initdb also sets the encryption method in controldata during server
+bootstrap.
+
+initdb runs "postgres --boot", which calls function
+kmgr.c::BootStrapKmgr(), which calls the cluster key command. The
+cluster key command returns a KEK which is used to encrypt random bytes
+for each DEK and writes them to the file system by
+kmgr.c::KmgrWriteCryptoKeys() (unless --copy-encryption-keys is used).
+Currently the DEK files are 0 and 1 and are stored in
+$PGDATA/pg_cryptokeys/live. The wrapped DEK files use Key Wrapping with
+Padding which verifies the validity of the KEK.
+
+initdb also does a non-boot backend start which calls
+kmgr.c::InitializeKmgr(), which calls the cluster key command a second
+time. This decrypts/unwraps the DEK keys and stores them in the shared
+memory structure KmgrShmem. This step also happens every time the server
+starts. Later patches will use the keys stored in KmgrShmem to
+encrypt/decrypt database files. KmgrShmem is erased via
+explicit_bzero() on server shutdown.
+
+Limitations
+-----------
+
+There doesn't seem to be a reasonable way to detect all malicious data
+modification or key extraction if a user has write permission on the
+files in PGDATA. It might be possible to limit the key extraction risk
+if postgresql.auto.conf were able to be moved to a directory outside of
+PGDATA, and if postmaster.opts could be moved or ignored when cluster
+file encryption is used. (This file is used by pg_ctl restart.)
+
+It doesn't appear possible to detect all malicious writes --- even if
+you add message authentication code (MAC) checks to encrypted files,
+modifying non-encrypted files could still affect encrypted ones, e.g.,
+modifying files in pg_xact could affect how heap rows are interpreted.
+Basically you would need to encrypt all files, and at that point you
+might as well just use an encrypted file system. There also doesn't seem
+to be a way to prevent key extraction if someone has read permission on
+postgres process memory.
+
+Initialization Vector
+---------------------
+
+Nonce means "number used once". An Initialization Vector (IV) is a
+specific type of nonce. That is, unique but not necessarily random or
+secret, as specified by the NIST
+(https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38a.pdf).
+To generate unique IVs, the NIST recommends two methods:
+
+ The first method is to apply the forward cipher function, under
+ the same key that is used for the encryption of the plaintext,
+ to a nonce. The nonce must be a data block that is unique to
+ each execution of the encryption operation. For example, the
+ nonce may be a counter, as described in Appendix B, or a message
+ number. The second method is to generate a random data block
+ using a FIPS-approved random number generator.
+
+We will use the first method to generate IVs. That is, select nonce
+carefully and use a cipher with the key to make it unique enough to use
+as an IV. The nonce selection for buffer encryption and WAL encryption
+are described below.
+
+If the IV was used more than once with the same key (and we only use one
+data encryption key), changes in the unencrypted data would be visible
+in the encrypted data.
+
+IV for Heap/Index Encryption
+- - - - - - - - - - - - - -
+
+To create the 16-byte IV needed by AES for each page version, we will
+use the page LSN (8 bytes) and page number (4 bytes). In the remaining
+four bytes, one bit will be used to indicate if the LSN is WAL (real) or
+fake (see below). The LSN is ideal for use in the IV because it is
+always increasing, and is changed every time a page is updated. The
+same LSN is never used for two relations with different page contents.
+
+However, the same LSN can be used in multiple pages in the same relation
+--- this can happen when a heap update expires an old tuple and adds a
+new tuple to another page. By adding the page number to the IV, we keep
+the IV unique.
+
+By not using the database id in the IV, CREATE DATABASE can copy the
+heap/index files from the old database to a new one without
+decryption/encryption. Both page copies are valid. Once a database
+changes its pages, it gets new LSNs, and hence new IV. Using only the
+LSN and page number also avoids requiring pg_upgrade to preserve
+database oids, tablespace oids, and relfilenodes.
+
+As part of WAL logging, every change of a WAL-logged page gets a new
+LSN, and therefore a new IV automatically.
+
+However, the LSN must then be visible on encrypted pages, so we will not
+encrypt the LSN on the page. We will also not encrypt the CRC so
+pg_checksums can still check pages offline without access to the keys.
+
+Non-Permanent Relations
+- - - - - - - - - - - -
+
+To avoid the overhead of generating WAL for non-permanent (unlogged and
+temporary) relations, we assign fake LSNs that are derived from a
+counter via xlog.c::GetFakeLSNForUnloggedRel(). (GiST also uses this
+counter for LSNs.) We also set a bit in the IV so the use of the same
+value for WAL (real) and fake LSNs will still generate unique IVs. Only
+main forks are encrypted, not init, vm, or fsm files.
+
+In the code, we need to identify if a page uses WAL or fake LSNs in
+four places, when:
+
+1. Reading a page from the file system and decrypting
+2. Setting the WAL or fake LSN on a page
+3. Hint bits changes requiring new LSNs for the encryption IV
+4. Encrypting and writing a page to the file system
+
+For all these case, we have access to the fork number and either the
+relation's persistence state or the buffer state. If it is a "main"
+fork and the relation persistence state is RELPERSISTENCE_PERMANENT, or
+if it is an "init" fork, we use a real LSN. If it is a main fork and
+RELPERSISTENCE_PERMANENT is false, we use a fake LSN. The buffer state
+BM_PERMANENT is true if the relation is PERMANENT or is an init fork.
+
+Init Forks
+- - - - -
+
+Init forks for unlogged relations get permanent LSNs because unlogged
+relation creation is WAL logged/crash safe, even though the relation's
+contents are not. When the init fork is copied to represent an empty
+relation during crash recovery, it becomes a non-permanent page and must
+be successfully decrypted as such. Therefore, when it is copied, its
+LSN is changed to e fake LSN and then encrypted. This prevents a real
+LSN from being encrypted with the fake nonce bit.
+
+LSN Assignment, GiST, & Non-Permanent Relations
+- - - - - - - - - - - - - - - - - - - - - - - -
+
+LSN assignment has to be slightly modified for encryption. In normal,
+non-encryption mode, LSNs are assigned to pages following these rules:
+
+1. During GiST builds, some pages are assigned fixed LSNs (GistBuildLSN)
+
+2. During GiST builds, non-permanent pages not assigned fixed LSNs in
+#1 are assigned fake LSNs, via gistutil.c::gistGetFakeLSN().
+
+3. All other permanent pages are assigned WAL-based LSNs based on the
+WAL position of their WAL records.
+
+4. All other non-permanent pages have LSNs of zero.
+
+When encryption is enabled:
+
+1. During GiST builds, permanent pages are assigned WAL-based LSNs
+generated by xloginsert.c::LSNForEncryption().
+
+2. During GiST builds, non-permanent pages are assigned fake LSNs.
+(No constant LSNs are used in #1 or #2.)
+
+3. same as #3 above
+
+4. All other non-permanent pages are assigned fake LSNs before page
+encryption.
+
+When switching to an encrypted replica from a non-encrypted primary,
+GiST indexes will be using fixed LSNs for permanent tables, so it is
+recommended to rebuild GiST indexes. Non-permanent relations are not
+replicated, so they are not an issue.
+
+Hint Bits
+- - - - -
+
+For hint bit changes, the LSN normally doesn't change, which is a
+problem. By enabling wal_log_hints, you get full page writes to the WAL
+after the first hint bit change of the checkpoint. This is useful for
+two reasons. First, it generates a new LSN, which is needed for the IV
+to be secure. Second, full page images protect against torn pages,
+which is an even bigger requirement for encryption because the new LSN
+is re-encrypting the entire page, not just the hint bit changes. You
+can safely lose the hint bit changes, but you need to use the same LSN
+to decrypt the entire page, so a torn page with an LSN change cannot be
+decrypted. To prevent this, wal_log_hints guarantees that the
+pre-hint-bit version (and previous LSN version) of the page is restored.
+
+However, if a hint-bit-modified page is written to the file system
+during a checkpoint, and there is a later hint bit change switching the
+same page from clean to dirty during the same checkpoint, we need a new
+LSN, and wal_log_hints doesn't give us a new LSN here. The fix for this
+is to update the page LSN by writing a dummy WAL record via
+xloginsert.c::LSNForEncryption() in such cases.
--
2.20.1
cfe-03-scripts_over_cfe-02-internaldoc.difftext/x-diff; charset=us-asciiDownload
From 53d415b70f06dd6cc015852acd1c799c0b9a841f Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:36 -0400
Subject: [PATCH] cfe-03-scripts_over_cfe-02-internaldoc squash commit
---
src/backend/Makefile | 15 +++-
src/backend/crypto/ckey_aws.sh.sample (new) | 53 ++++++++++++
.../crypto/ckey_direct.sh.sample (new) | 39 +++++++++
.../crypto/ckey_passphrase.sh.sample (new) | 35 ++++++++
.../crypto/ckey_piv_nopin.sh.sample (new) | 68 ++++++++++++++++
.../crypto/ckey_piv_pin.sh.sample (new) | 81 +++++++++++++++++++
.../crypto/ssl_passphrase.sh.sample (new) | 35 ++++++++
7 files changed, 325 insertions(+), 1 deletion(-)
diff --git a/src/backend/Makefile b/src/backend/Makefile
index 0da848b1fd..76eb44f632 100644
--- a/src/backend/Makefile
+++ b/src/backend/Makefile
@@ -211,6 +211,12 @@ endif
$(INSTALL_DATA) $(srcdir)/libpq/pg_hba.conf.sample '$(DESTDIR)$(datadir)/pg_hba.conf.sample'
$(INSTALL_DATA) $(srcdir)/libpq/pg_ident.conf.sample '$(DESTDIR)$(datadir)/pg_ident.conf.sample'
$(INSTALL_DATA) $(srcdir)/utils/misc/postgresql.conf.sample '$(DESTDIR)$(datadir)/postgresql.conf.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ckey_aws.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ckey_aws.sh.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ckey_direct.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ckey_direct.sh.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ckey_passphrase.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ckey_passphrase.sh.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ckey_piv_nopin.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ckey_piv_nopin.sh.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ckey_piv_pin.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ckey_piv_pin.sh.sample'
+ $(INSTALL_DATA) $(srcdir)/crypto/ssl_passphrase.sh.sample '$(DESTDIR)$(datadir)/auth_commands/ssl_passphrase.sh.sample'
ifeq ($(with_llvm), yes)
install-bin: install-postgres-bitcode
@@ -236,6 +242,7 @@ endif
installdirs:
$(MKDIR_P) '$(DESTDIR)$(bindir)' '$(DESTDIR)$(datadir)'
+ $(MKDIR_P) '$(DESTDIR)$(datadir)' '$(DESTDIR)$(datadir)/auth_commands'
ifeq ($(PORTNAME), cygwin)
ifeq ($(MAKE_DLL), true)
$(MKDIR_P) '$(DESTDIR)$(libdir)'
@@ -275,7 +282,13 @@ endif
$(MAKE) -C utils uninstall-data
rm -f '$(DESTDIR)$(datadir)/pg_hba.conf.sample' \
'$(DESTDIR)$(datadir)/pg_ident.conf.sample' \
- '$(DESTDIR)$(datadir)/postgresql.conf.sample'
+ '$(DESTDIR)$(datadir)/postgresql.conf.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ckey_aws.sh.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ckey_direct.sh.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ckey_passphrase.sh.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ckey_piv_nopin.sh.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ckey_piv_pin.sh.sample' \
+ '$(DESTDIR)$(datadir)/auth_commands/ssl_passphrase.sh.sample'
ifeq ($(with_llvm), yes)
$(call uninstall_llvm_module,postgres)
endif
diff --git a/src/backend/crypto/ckey_aws.sh.sample b/src/backend/crypto/ckey_aws.sh.sample
new file mode 100644
index 0000000000..d9bee53132
--- /dev/null
+++ b/src/backend/crypto/ckey_aws.sh.sample
@@ -0,0 +1,53 @@
+#!/bin/sh
+
+# This uses the AWS Secrets Manager using the AWS CLI and OpenSSL.
+# This stores the AWS secret Id in $DIR.
+# Do not create any file with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -ne 1 ] && echo "cluster_key_command usage: $0 \"%d\"" 1>&2 && exit 1
+# No need for %R or -R since we are not prompting
+
+DIR="$1"
+[ ! -e "$DIR" ] && echo "$DIR does not exist" 1>&2 && exit 1
+[ ! -d "$DIR" ] && echo "$DIR is not a directory" 1>&2 && exit 1
+
+# File containing the id of the AWS secret
+AWS_ID_FILE="$DIR/aws-secret.id"
+
+
+# ----------------------------------------------------------------------
+
+
+# Create an AWS Secrets Manager secret?
+if [ ! -e "$AWS_ID_FILE" ]
+then # The 'postgres' operating system user must have permission to
+ # access the AWS CLI
+
+ # The epoch-time/directory/hostname combination is unique
+ HASH=$(echo -n "$(date '+%s')$DIR$(hostname)" | sha1sum | cut -d' ' -f1)
+ AWS_SECRET_ID="Postgres-cluster-key-$HASH"
+
+ # Use stdin to avoid passing the secret on the command line
+ openssl rand -hex 32 |
+ aws secretsmanager create-secret \
+ --name "$AWS_SECRET_ID" \
+ --description "Postgres cluster file encryption on $(hostname)" \
+ --secret-string 'file:///dev/stdin' \
+ --output text > /dev/null
+ if [ "$?" -ne 0 ]
+ then echo 'cluster key generation failed' 1>&2
+ exit 1
+ fi
+
+ echo "$AWS_SECRET_ID" > "$AWS_ID_FILE"
+fi
+
+if ! aws secretsmanager get-secret-value \
+ --secret-id "$(cat "$AWS_ID_FILE")" \
+ --output text
+then echo 'cluster key retrieval failed' 1>&2
+ exit 1
+fi | awk -F'\t' 'NR == 1 {print $4}'
+
+exit 0
diff --git a/src/backend/crypto/ckey_direct.sh.sample b/src/backend/crypto/ckey_direct.sh.sample
new file mode 100644
index 0000000000..492defcffe
--- /dev/null
+++ b/src/backend/crypto/ckey_direct.sh.sample
@@ -0,0 +1,39 @@
+#!/bin/sh
+
+# This uses a 64-character hex key supplied by the user.
+# If OpenSSL is installed, you can generate a pseudo-random key by running:
+# openssl rand -hex 32
+# To get a true random key, run:
+# wget -q -O - 'https://www.random.org/cgi-bin/randbyte?nbytes=32&format=h' | tr -d ' \n'; echo
+# Do not create any fie with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -lt 1 ] && echo "cluster_key_command usage: $0 %R [%p]" 1>&2 && exit 1
+# Supports environment variable PROMPT
+
+FD="$1"
+[ ! -t "$FD" ] && echo "file descriptor $FD does not refer to a terminal" 1>&2 && exit 1
+
+[ "$2" ] && PROMPT="$2"
+
+
+# ----------------------------------------------------------------------
+
+[ ! "$PROMPT" ] && PROMPT='Enter cluster key as 64 hexadecimal characters: '
+
+stty -echo <&"$FD"
+
+echo 1>&"$FD"
+echo -n "$PROMPT" 1>&"$FD"
+read KEY <&"$FD"
+
+stty echo <&"$FD"
+
+if [ "$(expr "$KEY" : '[0-9a-fA-F]*$')" -ne 64 ]
+then echo 'invalid; must be 64 hexadecimal characters' 1>&2
+ exit 1
+fi
+
+echo "$KEY"
+
+exit 0
diff --git a/src/backend/crypto/ckey_passphrase.sh.sample b/src/backend/crypto/ckey_passphrase.sh.sample
new file mode 100644
index 0000000000..a5d837b45e
--- /dev/null
+++ b/src/backend/crypto/ckey_passphrase.sh.sample
@@ -0,0 +1,35 @@
+#!/bin/sh
+
+# This uses a passphrase supplied by the user.
+# Do not create any fie with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -lt 1 ] && echo "cluster_key_command usage: $0 %R [\"%p\"]" 1>&2 && exit 1
+
+FD="$1"
+[ ! -t "$FD" ] && echo "file descriptor $FD does not refer to a terminal" 1>&2 && exit 1
+# Supports environment variable PROMPT
+
+[ "$2" ] && PROMPT="$2"
+
+
+# ----------------------------------------------------------------------
+
+[ ! "$PROMPT" ] && PROMPT='Enter cluster passphrase: '
+
+stty -echo <&"$FD"
+
+echo 1>&"$FD"
+echo -n "$PROMPT" 1>&"$FD"
+read PASS <&"$FD"
+
+stty echo <&"$FD"
+
+if [ ! "$PASS" ]
+then echo 'invalid: empty passphrase' 1>&2
+ exit 1
+fi
+
+echo "$PASS" | sha256sum | cut -d' ' -f1
+
+exit 0
diff --git a/src/backend/crypto/ckey_piv_nopin.sh.sample b/src/backend/crypto/ckey_piv_nopin.sh.sample
new file mode 100644
index 0000000000..e90a579dea
--- /dev/null
+++ b/src/backend/crypto/ckey_piv_nopin.sh.sample
@@ -0,0 +1,68 @@
+#!/bin/sh
+
+# This uses the public/private keys on a PIV device, like a CAC or Yubikey.
+# It uses a PIN stored in a file.
+# It uses OpenSSL with PKCS11 enabled via OpenSC.
+# This stores the cluster encryption key encrypted with the PIV public
+# key in $DIR. This is technically a three-level encryption
+# architecture, with the third level requiring the PIV and PIN.
+# Do not create any fie with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -ne 1 ] && echo "cluster_key_command usage: $0 \"%d\"" 1>&2 && exit 1
+# Supports environment variable PIV_PIN_FILE
+# No need for %R or -R since we are not prompting for a PIN
+
+DIR="$1"
+[ ! -e "$DIR" ] && echo "$DIR does not exist" 1>&2 && exit 1
+[ ! -d "$DIR" ] && echo "$DIR is not a directory" 1>&2 && exit 1
+
+# Set these here or pass in as environment variables.
+# File that stores the PIN to unlock the PIV
+#PIV_PIN_FILE=''
+# PIV slot 3 is the "Key Management" slot, so we use '0:3'
+PIV_SLOT='0:3'
+
+# File containing the cluster key encrypted with the PIV_SLOT's public key
+KEY_FILE="$DIR/pivpass.key"
+
+
+# ----------------------------------------------------------------------
+
+[ ! "$PIV_PIN_FILE" ] && echo 'PIV_PIN_FILE undefined' 1>&2 && exit 1
+[ ! -e "$PIV_PIN_FILE" ] && echo "$PIV_PIN_FILE does not exist" 1>&2 && exit 1
+[ -d "$PIV_PIN_FILE" ] && echo "$PIV_PIN_FILE is a directory" 1>&2 && exit 1
+
+[ ! "$KEY_FILE" ] && echo 'KEY_FILE undefined' 1>&2 && exit 1
+[ -d "$KEY_FILE" ] && echo "$KEY_FILE is a directory" 1>&2 && exit 1
+
+# Create a cluster key encrypted with the PIV_SLOT's public key?
+if [ ! -e "$KEY_FILE" ]
+then # The 'postgres' operating system user must have permission to
+ # access the PIV device.
+
+ openssl rand -hex 32 |
+ if ! openssl rsautl -engine pkcs11 -keyform engine -encrypt \
+ -inkey "$PIV_SLOT" -passin file:"$PIV_PIN_FILE" -out "$KEY_FILE"
+ then echo 'cluster key generation failed' 1>&2
+ exit 1
+ fi
+
+ # Warn the user to save the cluster key in a safe place
+ cat 1>&2 <<END
+
+WARNING: The PIV device can be locked and require a reset if too many PIN
+attempts fail. It is recommended to run this command manually and save
+the cluster key in a secure location for possible recovery.
+END
+
+fi
+
+# Decrypt the cluster key encrypted with the PIV_SLOT's public key
+if ! openssl rsautl -engine pkcs11 -keyform engine -decrypt \
+ -inkey "$PIV_SLOT" -passin file:"$PIV_PIN_FILE" -in "$KEY_FILE"
+then echo 'cluster key decryption failed' 1>&2
+ exit 1
+fi
+
+exit 0
diff --git a/src/backend/crypto/ckey_piv_pin.sh.sample b/src/backend/crypto/ckey_piv_pin.sh.sample
new file mode 100644
index 0000000000..e693ac31ba
--- /dev/null
+++ b/src/backend/crypto/ckey_piv_pin.sh.sample
@@ -0,0 +1,81 @@
+#!/bin/sh
+
+# This uses the public/private keys on a PIV device, like a CAC or Yubikey.
+# It requires a user-entered PIN.
+# It uses OpenSSL with PKCS11 enabled via OpenSC.
+# This stores the cluster encryption key encrypted with the PIV public
+# key in $DIR. This is technically a three-level encryption
+# architecture, with the third level requiring the PIV and PIN.
+# Do not create any fie with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -lt 2 ] && echo "cluster_key_command usage: $0 \"%d\" %R [\"%p\"]" 1>&2 && exit 1
+# Supports environment variable PROMPT
+
+DIR="$1"
+[ ! -e "$DIR" ] && echo "$DIR does not exist" 1>&2 && exit 1
+[ ! -d "$DIR" ] && echo "$DIR is not a directory" 1>&2 && exit 1
+
+FD="$2"
+[ ! -t "$FD" ] && echo "file descriptor $FD does not refer to a terminal" 1>&2 && exit 1
+
+[ "$3" ] && PROMPT="$3"
+
+# PIV slot 3 is the "Key Management" slot, so we use '0:3'
+PIV_SLOT='0:3'
+
+# File containing the cluster key encrypted with the PIV_SLOT's public key
+KEY_FILE="$DIR/pivpass.key"
+
+
+# ----------------------------------------------------------------------
+
+[ ! "$PROMPT" ] && PROMPT='Enter PIV PIN: '
+
+stty -echo <&"$FD"
+
+# Create a cluster key encrypted with the PIV_SLOT's public key?
+if [ ! -e "$KEY_FILE" ]
+then echo 1>&"$FD"
+ echo -n "$PROMPT" 1>&"$FD"
+
+ # The 'postgres' operating system user must have permission to
+ # access the PIV device.
+
+ openssl rand -hex 32 |
+ # 'engine "pkcs11" set.' message confuses prompting
+ if ! openssl rsautl -engine pkcs11 -keyform engine -encrypt \
+ -inkey "$PIV_SLOT" -passin fd:"$FD" -out "$KEY_FILE" 2>&1
+ then stty echo <&"$FD"
+ echo 'cluster key generation failed' 1>&2
+ exit 1
+ fi | grep -v 'engine "pkcs11" set\.'
+
+ echo 1>&"$FD"
+
+ # Warn the user to save the cluster key in a safe place
+ cat 1>&"$FD" <<END
+
+WARNING: The PIV can be locked and require a reset if too many PIN
+attempts fail. It is recommended to run this command manually and save
+the cluster key in a secure location for possible recovery.
+END
+
+fi
+
+echo 1>&"$FD"
+echo -n "$PROMPT" 1>&"$FD"
+
+# Decrypt the cluster key encrypted with the PIV_SLOT's public key
+if ! openssl rsautl -engine pkcs11 -keyform engine -decrypt \
+ -inkey "$PIV_SLOT" -passin fd:"$FD" -in "$KEY_FILE" 2>&1
+then stty echo <&"$FD"
+ echo 'cluster key retrieval failed' 1>&2
+ exit 1
+fi | grep -v 'engine "pkcs11" set\.'
+
+echo 1>&"$FD"
+
+stty echo <&"$FD"
+
+exit 0
diff --git a/src/backend/crypto/ssl_passphrase.sh.sample b/src/backend/crypto/ssl_passphrase.sh.sample
new file mode 100644
index 0000000000..efbf5c0720
--- /dev/null
+++ b/src/backend/crypto/ssl_passphrase.sh.sample
@@ -0,0 +1,35 @@
+#!/bin/sh
+
+# This uses a passphrase supplied by the user.
+# Do not create any fie with extension "wkey" in $DIR; these are
+# reserved for wrapped data key files.
+
+[ "$#" -lt 1 ] && echo "ssl_passphrase_command usage: $0 %R [\"%p\"]" 1>&2 && exit 1
+
+FD="$1"
+[ ! -t "$FD" ] && echo "file descriptor $FD does not refer to a terminal" 1>&2 && exit 1
+# Supports environment variable PROMPT
+
+[ "$2" ] && PROMPT="$2"
+
+
+# ----------------------------------------------------------------------
+
+[ ! "$PROMPT" ] && PROMPT='Enter cluster passphrase: '
+
+stty -echo <&"$FD"
+
+echo 1>&"$FD"
+echo -n "$PROMPT" 1>&"$FD"
+read PASS <&"$FD"
+
+stty echo <&"$FD"
+
+if [ ! "$PASS" ]
+then echo 'invalid: empty passphrase' 1>&2
+ exit 1
+fi
+
+echo "$PASS"
+
+exit 0
--
2.20.1
cfe-04-common_over_cfe-03-scripts.difftext/x-diff; charset=us-asciiDownload
From 57e9242bebe197bcf42012485e22e44530660f86 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:37 -0400
Subject: [PATCH] cfe-04-common_over_cfe-03-scripts squash commit
---
src/common/Makefile | 3 +
src/common/cipher.c (new) | 98 ++++++
src/common/cipher_openssl.c (new) | 419 +++++++++++++++++++++++
src/common/kmgr_utils.c (new) | 470 ++++++++++++++++++++++++++
src/include/common/cipher.h (new) | 74 ++++
src/include/common/kmgr_utils.h (new) | 94 ++++++
src/include/utils/wait_event.h | 3 +
src/tools/msvc/Mkvcbuild.pm | 4 +-
8 files changed, 1164 insertions(+), 1 deletion(-)
diff --git a/src/common/Makefile b/src/common/Makefile
index 38a8599337..5f14491c25 100644
--- a/src/common/Makefile
+++ b/src/common/Makefile
@@ -62,6 +62,7 @@ OBJS_COMMON = \
ip.o \
jsonapi.o \
keywords.o \
+ kmgr_utils.o \
kwlookup.o \
link-canary.o \
md5_common.o \
@@ -82,11 +83,13 @@ OBJS_COMMON = \
ifeq ($(with_ssl),openssl)
OBJS_COMMON += \
+ cipher_openssl.o \
protocol_openssl.o \
cryptohash_openssl.o \
hmac_openssl.o
else
OBJS_COMMON += \
+ cipher.o \
cryptohash.o \
hmac.o \
md5.o \
diff --git a/src/common/cipher.c b/src/common/cipher.c
new file mode 100644
index 0000000000..7aa3ea6138
--- /dev/null
+++ b/src/common/cipher.c
@@ -0,0 +1,98 @@
+/*-------------------------------------------------------------------------
+ *
+ * cipher.c
+ * Shared frontend/backend for cryptographic functions
+ *
+ * This is the set of in-core functions used when there are no other
+ * alternative options like OpenSSL.
+ *
+ * Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * IDENTIFICATION
+ * src/common/cipher.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+#ifndef FRONTEND
+#include "postgres.h"
+#else
+#include "postgres_fe.h"
+#endif
+
+#include "common/cipher.h"
+
+static void cipher_failure(void) pg_attribute_noreturn();
+
+
+PgCipherCtx *
+pg_cipher_ctx_create(int cipher, unsigned char *key, int klen, bool enc)
+{
+ cipher_failure();
+ return NULL; /* keep compiler quiet */
+}
+
+void
+pg_cipher_ctx_free(PgCipherCtx *ctx)
+{
+ cipher_failure();
+}
+
+int
+pg_cipher_blocksize(PgCipherCtx *ctx)
+{
+ cipher_failure();
+ return -1; /* keep compiler quiet */
+}
+
+bool
+pg_cipher_encrypt(PgCipherCtx *ctx, const int cipher,
+ const unsigned char *plaintext,
+ const int inlen, unsigned char *ciphertext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *outtag, const int taglen)
+{
+ cipher_failure();
+ return false; /* keep compiler quiet */
+}
+
+bool
+pg_cipher_decrypt(PgCipherCtx *ctx, const int cipher,
+ const unsigned char *ciphertext,
+ const int inlen, unsigned char *plaintext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *intag, const int taglen)
+{
+ cipher_failure();
+ return false; /* keep compiler quiet */
+}
+
+bool
+pg_cipher_keywrap(PgCipherCtx *ctx, const unsigned char *plaintext,
+ const int inlen, unsigned char *ciphertext, int *outlen)
+{
+ cipher_failure();
+ return false; /* keep compiler quiet */
+}
+
+bool
+pg_cipher_keyunwrap(PgCipherCtx *ctx, const unsigned char *ciphertext,
+ const int inlen, unsigned char *plaintext, int *outlen)
+{
+ cipher_failure();
+ return false; /* keep compiler quiet */
+}
+
+static void
+cipher_failure(void)
+{
+#ifndef FRONTEND
+ ereport(ERROR,
+ (errcode(ERRCODE_CONFIG_FILE_ERROR),
+ (errmsg("cluster file encryption is not supported because OpenSSL is not supported by this build"),
+ errhint("Compile with --with-openssl to use this feature."))));
+#else
+ fprintf(stderr, _("cluster file encryption is not supported because OpenSSL is not supported by this build"));
+ exit(1);
+#endif
+}
diff --git a/src/common/cipher_openssl.c b/src/common/cipher_openssl.c
new file mode 100644
index 0000000000..a03fbe435f
--- /dev/null
+++ b/src/common/cipher_openssl.c
@@ -0,0 +1,419 @@
+/*-------------------------------------------------------------------------
+ * cipher_openssl.c
+ * Cryptographic function using OpenSSL
+ *
+ * This contains the common low-level functions needed in both frontend and
+ * backend, for implement the database encryption.
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * IDENTIFICATION
+ * src/common/cipher_openssl.c
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef FRONTEND
+#include "postgres.h"
+#else
+#include "postgres_fe.h"
+#endif
+
+#include "common/cipher.h"
+#include <openssl/conf.h>
+#include <openssl/err.h>
+#include <openssl/evp.h>
+#include <openssl/ssl.h>
+
+/*
+ * prototype for the EVP functions that return an algorithm, e.g.
+ * EVP_aes_128_gcm().
+ */
+typedef const EVP_CIPHER *(*ossl_EVP_cipher_func) (void);
+
+static ossl_EVP_cipher_func get_evp_aes_gcm(int klen);
+static EVP_CIPHER_CTX *ossl_cipher_ctx_create(int cipher, unsigned char *key,
+ int klen, bool enc);
+
+/*
+ * Return a newly created cipher context. 'cipher' specifies cipher algorithm
+ * by identifier like PG_CIPHER_XXX.
+ */
+PgCipherCtx *
+pg_cipher_ctx_create(int cipher, unsigned char *key, int klen, bool enc)
+{
+ PgCipherCtx *ctx = NULL;
+
+ if (cipher > PG_MAX_CIPHER_ID)
+ return NULL;
+
+ ctx = ossl_cipher_ctx_create(cipher, key, klen, enc);
+
+ return ctx;
+}
+
+void
+pg_cipher_ctx_free(PgCipherCtx *ctx)
+{
+ EVP_CIPHER_CTX_free(ctx);
+}
+
+int
+pg_cipher_blocksize(PgCipherCtx *ctx)
+{
+ Assert(ctx);
+
+ return EVP_CIPHER_CTX_block_size(ctx);
+}
+
+/*
+ * Encryption routine to encrypt data provided.
+ *
+ * ctx is the encryption context which must have been created previously.
+ *
+ * plaintext is the data we are going to encrypt
+ * inlen is the length of the data to encrypt
+ *
+ * ciphertext is the encrypted result
+ * outlen is the encrypted length
+ *
+ * iv is the IV to use.
+ * ivlen is the IV length to use.
+ *
+ * outtag is the resulting tag.
+ * taglen is the length of the tag.
+ */
+bool
+pg_cipher_encrypt(PgCipherCtx *ctx, int cipher,
+ const unsigned char *plaintext, const int inlen,
+ unsigned char *ciphertext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *outtag, const int taglen)
+{
+ int len;
+ int enclen;
+
+ Assert(ctx != NULL);
+
+ /*
+ * Here we are setting the IV for the context which was passed in. Note
+ * that we signal to OpenSSL that we are configuring a new value for the
+ * context by passing in 'NULL' for the 2nd ('type') parameter.
+ */
+
+ /*
+ * We don't use GCM mode, but it has a MAC, so we support it and test it
+ * in case we need it later. XXX is this correct for GCM and CTR?
+ */
+ /* Set the GCM IV length first */
+ if (cipher == PG_CIPHER_AES_GCM &&
+ !EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_IVLEN, ivlen, NULL))
+ return false;
+
+ /* Set the IV for this encryption. */
+ if (!EVP_EncryptInit_ex(ctx, NULL, NULL, NULL, iv))
+ return false;
+
+ /*
+ * This is the function which is actually performing the encryption for
+ * us.
+ */
+ if (!EVP_EncryptUpdate(ctx, ciphertext, &len, plaintext, inlen))
+ return false;
+
+ enclen = len;
+
+ /* Finalize the encryption, which could add more to output. */
+ if (!EVP_EncryptFinal_ex(ctx, ciphertext + enclen, &len))
+ return false;
+
+ *outlen = enclen + len;
+
+ /*
+ * Once all of the encryption has been completed we grab the tag.
+ */
+ if (cipher == PG_CIPHER_AES_GCM &&
+ !EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_GET_TAG, taglen, outtag))
+ return false;
+
+ return true;
+}
+
+/*
+ * Decryption routine
+ *
+ * ctx is the encryption context which must have been created previously.
+ *
+ * ciphertext is the data we are going to decrypt
+ * inlen is the length of the data to decrypt
+ *
+ * plaintext is the decrypted result
+ * outlen is the decrypted length
+ *
+ * iv is the IV to use.
+ * ivlen is the length of the IV.
+ *
+ * intag is the tag to use to verify.
+ * taglen is the length of the tag.
+ */
+bool
+pg_cipher_decrypt(PgCipherCtx *ctx, const int cipher,
+ const unsigned char *ciphertext, const int inlen,
+ unsigned char *plaintext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *intag, const int taglen)
+{
+ int declen;
+ int len;
+
+ /*
+ * Here we are setting the IV for the context which was passed in. Note
+ * that we signal to OpenSSL that we are configuring a new value for the
+ * context by passing in 'NULL' for the 2nd ('type') parameter.
+ */
+
+ /* XXX is this correct for GCM and CTR? */
+ /* Set the GCM IV length first */
+ if (cipher == PG_CIPHER_AES_GCM &&
+ !EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_IVLEN, ivlen, NULL))
+ return false;
+
+ /* Set the IV for this decryption. */
+ if (!EVP_DecryptInit_ex(ctx, NULL, NULL, NULL, iv))
+ return false;
+
+ /*
+ * This is the function which is actually performing the decryption for
+ * us.
+ */
+ if (!EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, inlen))
+ return false;
+
+ declen = len;
+
+ /* Set the expected tag value. */
+ if (cipher == PG_CIPHER_AES_GCM &&
+ !EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_TAG, taglen, intag))
+ return false;
+
+ /*
+ * Finalize the decryption, which could add more to output, this is also
+ * the step which checks the tag and we MUST fail if this indicates an
+ * invalid tag!
+ */
+ if (!EVP_DecryptFinal_ex(ctx, plaintext + declen, &len))
+ return false;
+
+ *outlen = declen + len;
+
+ return true;
+}
+
+/*
+ * Routine to perform key wrapping for data provided.
+ *
+ * ctx is the encryption context which must have been created previously.
+ *
+ * plaintext is the data/key we are going to encrypt/wrap
+ * inlen is the length of the data
+ *
+ * ciphertext is the wrapped result
+ * outlen is the encrypted length (will be larger than input!)
+ */
+bool
+pg_cipher_keywrap(PgCipherCtx *ctx,
+ const unsigned char *plaintext, const int inlen,
+ unsigned char *ciphertext, int *outlen)
+{
+ int len;
+ int enclen;
+
+ Assert(ctx != NULL);
+
+ /*
+ * This is the function which is actually performing the encryption for
+ * us.
+ */
+ if (!EVP_EncryptUpdate(ctx, ciphertext, &len, plaintext, inlen))
+ return false;
+
+ enclen = len;
+
+ /* Finalize the encryption, which could add more to output. */
+ if (!EVP_EncryptFinal_ex(ctx, ciphertext + enclen, &len))
+ return false;
+
+ *outlen = enclen + len;
+
+ return true;
+}
+
+/*
+ * Routine to perform key unwrapping of the data provided.
+ *
+ * ctx is the encryption context which must have been created previously.
+ *
+ * ciphertext is the wrapped key we are going to unwrap
+ * inlen is the length of the data to decrypt/unwrap
+ *
+ * plaintext is the decrypted result
+ * outlen is the decrypted length (will be smaller than input!)
+ */
+bool
+pg_cipher_keyunwrap(PgCipherCtx *ctx,
+ const unsigned char *ciphertext, const int inlen,
+ unsigned char *plaintext, int *outlen)
+{
+ int declen;
+ int len;
+
+ /*
+ * This is the function which is actually performing the decryption for
+ * us.
+ */
+ if (!EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, inlen))
+ return false;
+
+ declen = len;
+
+ /*
+ * Finalize the decryption, which could add more to output, this is also
+ * the step which checks the tag and we MUST fail if this indicates an
+ * invalid result!
+ */
+ if (!EVP_DecryptFinal_ex(ctx, plaintext + declen, &len))
+ return false;
+
+ *outlen = declen + len;
+
+ return true;
+}
+
+/*
+ * Returns the correct GCM cipher functions for OpenSSL based
+ * on the key length requested.
+ */
+static ossl_EVP_cipher_func
+get_evp_aes_gcm(int klen)
+{
+ switch (klen)
+ {
+ case PG_AES128_KEY_LEN:
+ return EVP_aes_128_gcm;
+ case PG_AES192_KEY_LEN:
+ return EVP_aes_192_gcm;
+ case PG_AES256_KEY_LEN:
+ return EVP_aes_256_gcm;
+ default:
+ return NULL;
+ }
+}
+
+/*
+ * Returns the correct KWP cipher functions for OpenSSL based
+ * on the key length requested.
+ */
+static ossl_EVP_cipher_func
+get_evp_aes_kwp(int klen)
+{
+ switch (klen)
+ {
+ case PG_AES128_KEY_LEN:
+ return EVP_aes_128_wrap_pad;
+ case PG_AES192_KEY_LEN:
+ return EVP_aes_192_wrap_pad;
+ case PG_AES256_KEY_LEN:
+ return EVP_aes_256_wrap_pad;
+ default:
+ return NULL;
+ }
+}
+
+/*
+ * Returns the correct CTR cipher functions for OpenSSL based
+ * on the key length requested.
+ */
+static ossl_EVP_cipher_func
+get_evp_aes_ctr(int klen)
+{
+ switch (klen)
+ {
+ case PG_AES128_KEY_LEN:
+ return EVP_aes_128_ctr;
+ case PG_AES192_KEY_LEN:
+ return EVP_aes_192_ctr;
+ case PG_AES256_KEY_LEN:
+ return EVP_aes_256_ctr;
+ default:
+ return NULL;
+ }
+}
+
+/*
+ * Initialize and return an EVP_CIPHER_CTX. Returns NULL if the given
+ * cipher algorithm is not supported or on failure.
+ */
+static EVP_CIPHER_CTX *
+ossl_cipher_ctx_create(int cipher, unsigned char *key, int klen, bool enc)
+{
+ EVP_CIPHER_CTX *ctx;
+ ossl_EVP_cipher_func func;
+ int ret;
+
+ ctx = EVP_CIPHER_CTX_new();
+
+ /*
+ * We currently only support AES GCM but others could be added in the
+ * future.
+ */
+ switch (cipher)
+ {
+ case PG_CIPHER_AES_GCM:
+ func = get_evp_aes_gcm(klen);
+ if (!func)
+ goto failed;
+ break;
+ case PG_CIPHER_AES_KWP:
+ func = get_evp_aes_kwp(klen);
+
+ /*
+ * Since wrapping will produce more output then input, and we have
+ * to be ready for that, OpenSSL requires that we explicitly
+ * enable wrapping for the context.
+ */
+ EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW);
+ if (!func)
+ goto failed;
+ break;
+ case PG_CIPHER_AES_CTR:
+ func = get_evp_aes_ctr(klen);
+ if (!func)
+ goto failed;
+ break;
+ default:
+ goto failed;
+ }
+
+ /*
+ * We create the context here based on the cipher requested and the
+ * provided key. Note that the IV will be provided in the actual
+ * encryption call through another EVP_EncryptInit_ex call- this is fine
+ * as long as 'type' is passed in as NULL!
+ */
+ if (enc)
+ ret = EVP_EncryptInit_ex(ctx, (const EVP_CIPHER *) func(), NULL, key, NULL);
+ else
+ ret = EVP_DecryptInit_ex(ctx, (const EVP_CIPHER *) func(), NULL, key, NULL);
+
+ if (!ret)
+ goto failed;
+
+ /* Set the key length based on the key length requested. */
+ if (!EVP_CIPHER_CTX_set_key_length(ctx, klen))
+ goto failed;
+
+ return ctx;
+
+failed:
+ EVP_CIPHER_CTX_free(ctx);
+ return NULL;
+}
diff --git a/src/common/kmgr_utils.c b/src/common/kmgr_utils.c
new file mode 100644
index 0000000000..30adfd3069
--- /dev/null
+++ b/src/common/kmgr_utils.c
@@ -0,0 +1,470 @@
+/*-------------------------------------------------------------------------
+ *
+ * kmgr_utils.c
+ * Shared frontend/backend for cluster file encryption
+ *
+ * These functions handle reading the wrapped DEK files from the
+ * file system, and wrapping and unwrapping them. It also handles
+ * running the cluster_key_command.
+ *
+ * Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * IDENTIFICATION
+ * src/common/kmgr_utils.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+#ifndef FRONTEND
+#include "postgres.h"
+#else
+#include "postgres_fe.h"
+#endif
+
+#include <unistd.h>
+#include <sys/stat.h>
+#include <fcntl.h>
+
+#ifdef FRONTEND
+#include "common/logging.h"
+#endif
+#include "common/cryptohash.h"
+#include "common/file_perm.h"
+#include "common/hex.h"
+#include "common/string.h"
+#include "crypto/kmgr.h"
+#include "lib/stringinfo.h"
+#include "storage/fd.h"
+
+#ifndef FRONTEND
+#include "pgstat.h"
+#include "storage/fd.h"
+#endif
+
+#define KMGR_PROMPT_MSG "Enter authentication needed to generate the cluster key: "
+
+#ifdef FRONTEND
+static FILE *open_pipe_stream(const char *command);
+static int close_pipe_stream(FILE *file);
+#endif
+
+static void read_wrapped_data_key(const char *cryptoKeyDir, uint32 id, unsigned char **key_p, int *key_len);
+
+/*
+ * We need this array in frontend and backend code, so define it here.
+ * You can only add to the end of this array since the array index is
+ * stored in pg_control.
+ */
+encryption_method encryption_methods[NUM_ENCRYPTION_METHODS] = {
+ {"", 0},
+ {"AES128", 128},
+ {"AES192", 192},
+ {"AES256", 256}
+};
+
+/* This maps wrapped key filesnames to their array slots */
+char *wkey_filenames[KMGR_NUM_DATA_KEYS] = {
+ "relation",
+ "wal"
+};
+
+
+/*
+ * Wrap the given CryptoKey.
+ *
+ * Returns true and writes encrypted/wrapped/padded data to 'out', and the length
+ * of the result to outlen, if successful.
+ *
+ * Otherwise returns false. The caller must allocate sufficient space
+ * for cipher data calculated by using KmgrSizeOfCipherText(). Please note that
+ * this function modifies 'out' data even on failure.
+ */
+bool
+kmgr_wrap_data_key(PgCipherCtx *ctx, CryptoKey *in, unsigned char *out, int *outlen)
+{
+ Assert(ctx && in && out);
+
+ if (!pg_cipher_keywrap(ctx, (unsigned char *) in, sizeof(CryptoKey), out, outlen))
+ return false;
+
+ return true;
+}
+
+/*
+ * Decrypt the given data. Return true and set plain text data to `out` if
+ * successful. Otherwise return false. The caller must allocate sufficient
+ * space for cipher data calculated by using KmgrSizeOfPlainText(). Please
+ * note that this function modifies 'out' data even on failure.
+ */
+bool
+kmgr_unwrap_data_key(PgCipherCtx *ctx, unsigned char *in, int inlen, CryptoKey *out)
+{
+ int outlen;
+
+ Assert(ctx && in && out);
+
+ if (!pg_cipher_keyunwrap(ctx, in, inlen, (unsigned char *) out, &outlen))
+ return false;
+
+ Assert(outlen == sizeof(CryptoKey));
+
+ return true;
+}
+
+/*
+ * Verify the correctness of the given cluster key by unwrapping the given keys.
+ * If the given cluster key is correct we set unwrapped keys to out_keys and return
+ * true. Otherwise return false. Please note that this function changes the
+ * contents of out_keys even on failure. Both in_keys and out_keys must be the
+ * same length.
+ */
+bool
+kmgr_verify_cluster_key(unsigned char *cluster_key,
+ unsigned char **in_keys, int *key_lens, CryptoKey *out_keys)
+{
+ PgCipherCtx *ctx;
+
+ /* Create decryption context with the KEK. */
+ ctx = pg_cipher_ctx_create(PG_CIPHER_AES_KWP, cluster_key,
+ KMGR_CLUSTER_KEY_LEN, false);
+
+ /* unwrap each DEK */
+ for (int i = 0; i < KMGR_NUM_DATA_KEYS; i++)
+ {
+ if (!kmgr_unwrap_data_key(ctx, in_keys[i], key_lens[i], &(out_keys[i])))
+ {
+ /* The cluster key is not correct */
+ pg_cipher_ctx_free(ctx);
+ return false;
+ }
+ explicit_bzero(in_keys[i], key_lens[i]);
+ }
+
+ /* The cluster key is correct, free the cipher context */
+ pg_cipher_ctx_free(ctx);
+
+ return true;
+}
+
+/*
+ * Run cluster key command.
+ *
+ * Substitute %d for directory, %p for prompt, %R for file descriptor.
+ *
+ * The result will be put in buffer buf, which is of size "size".
+ * The return value is the length of the actual result.
+ */
+int
+kmgr_run_cluster_key_command(char *cluster_key_command, char *buf,
+ int size, char *dir, int terminal_fd)
+{
+ StringInfoData command;
+ const char *sp;
+ FILE *fh;
+ int pclose_rc;
+ size_t len = 0;
+
+ buf[0] = '\0';
+
+ Assert(size > 0);
+
+ /*
+ * Build the command to be executed.
+ */
+ initStringInfo(&command);
+
+ for (sp = cluster_key_command; *sp; sp++)
+ {
+ if (*sp == '%')
+ {
+ switch (sp[1])
+ {
+ /* directory */
+ case 'd':
+ {
+ char *nativePath;
+
+ sp++;
+
+ /*
+ * This needs to use a placeholder to not modify the
+ * input with the conversion done via
+ * make_native_path().
+ */
+ nativePath = pstrdup(dir);
+ make_native_path(nativePath);
+ appendStringInfoString(&command, nativePath);
+ pfree(nativePath);
+ break;
+ }
+ /* prompt string */
+ case 'p':
+ sp++;
+ appendStringInfoString(&command, KMGR_PROMPT_MSG);
+ break;
+ /* file descriptor number */
+ case 'R':
+ {
+ char fd_str[20];
+
+ if (terminal_fd == -1)
+ {
+#ifdef FRONTEND
+ pg_log_fatal("cluster key command referenced %%R, but --authprompt not specified");
+ exit(EXIT_FAILURE);
+#else
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ errmsg("cluster key command referenced %%R, but --authprompt not specified")));
+#endif
+ }
+
+ sp++;
+ snprintf(fd_str, sizeof(fd_str), "%d", terminal_fd);
+ appendStringInfoString(&command, fd_str);
+ break;
+ }
+ /* literal "%" */
+ case '%':
+ /* convert %% to a single % */
+ sp++;
+ appendStringInfoChar(&command, *sp);
+ break;
+ default:
+ /* otherwise treat the % as not special */
+ appendStringInfoChar(&command, *sp);
+ break;
+ }
+ }
+ else
+ {
+ appendStringInfoChar(&command, *sp);
+ }
+ }
+
+#ifdef FRONTEND
+ fh = open_pipe_stream(command.data);
+ if (fh == NULL)
+ {
+ pg_log_fatal("could not execute command \"%s\": %m",
+ command.data);
+ exit(EXIT_FAILURE);
+ }
+#else
+ fh = OpenPipeStream(command.data, "r");
+ if (fh == NULL)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not execute command \"%s\": %m",
+ command.data)));
+#endif
+
+ if (!fgets(buf, size, fh))
+ {
+ if (ferror(fh))
+ {
+#ifdef FRONTEND
+ pg_log_fatal("could not read from command \"%s\": %m",
+ command.data);
+ exit(EXIT_FAILURE);
+#else
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not read from command \"%s\": %m",
+ command.data)));
+#endif
+ }
+ }
+
+#ifdef FRONTEND
+ pclose_rc = close_pipe_stream(fh);
+#else
+ pclose_rc = ClosePipeStream(fh);
+#endif
+
+ if (pclose_rc == -1)
+ {
+#ifdef FRONTEND
+ pg_log_fatal("could not close pipe to external command: %m");
+ exit(EXIT_FAILURE);
+#else
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not close pipe to external command: %m")));
+#endif
+ }
+ else if (pclose_rc != 0)
+ {
+#ifdef FRONTEND
+ pg_log_fatal("command \"%s\" failed", command.data);
+ exit(EXIT_FAILURE);
+#else
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("command \"%s\" failed",
+ command.data),
+ errdetail_internal("%s", wait_result_to_str(pclose_rc))));
+#endif
+ }
+
+ /* strip trailing newline and carriage returns */
+ len = pg_strip_crlf(buf);
+
+ pfree(command.data);
+
+ return len;
+}
+
+#ifdef FRONTEND
+static FILE *
+open_pipe_stream(const char *command)
+{
+ FILE *res;
+
+#ifdef WIN32
+ size_t cmdlen = strlen(command);
+ char *buf;
+ int save_errno;
+
+ buf = malloc(cmdlen + 2 + 1);
+ if (buf == NULL)
+ {
+ errno = ENOMEM;
+ return NULL;
+ }
+ buf[0] = '"';
+ memcpy(&buf[1], command, cmdlen);
+ buf[cmdlen + 1] = '"';
+ buf[cmdlen + 2] = '\0';
+
+ res = _popen(buf, "r");
+
+ save_errno = errno;
+ free(buf);
+ errno = save_errno;
+#else
+ res = popen(command, "r");
+#endif /* WIN32 */
+ return res;
+}
+
+static int
+close_pipe_stream(FILE *file)
+{
+#ifdef WIN32
+ return _pclose(file);
+#else
+ return pclose(file);
+#endif /* WIN32 */
+}
+#endif /* FRONTEND */
+
+/*
+ * Reads the keys at path.
+ *
+ * This routine simply reads in the raw encrypted/wrapped keys;
+ * it does not handle any decryption, see kmgr_key_unwrap().
+ *
+ * For each key returned, the key and key length are returned
+ * in the keys and key_lens arrays respectfully.
+ *
+ * Note that keys and key_lens must be allocated before calling
+ * this function as arrays of at least KMGR_NUM_DATA_KEYS length.
+ */
+void
+kmgr_read_wrapped_data_keys(const char *path, unsigned char **keys, int *key_lens)
+{
+/* StaticAssertStmt(lengthof(wkey_filenames) == KMGR_NUM_DATA_KEYS,
+ "wkey_filenames[] must match KMGR_NUM_DATA_KEYS");
+*/
+ StaticAssertStmt(1 == 1,
+ "wkey_filenames[] must match KMGR_NUM_DATA_KEYS");
+
+ for (int id = 0; id < KMGR_NUM_DATA_KEYS; id++)
+ read_wrapped_data_key(path, id, &(keys[id]), &(key_lens[id]));
+
+ return;
+}
+
+/* Read a wrapped DEK file */
+static void
+read_wrapped_data_key(const char *cryptoKeyDir, uint32 id, unsigned char **key_p, int *key_len)
+{
+ char path[MAXPGPATH];
+ int fd;
+ int r;
+ struct stat st;
+
+ CryptoKeyFilePath(path, cryptoKeyDir, id);
+
+#ifndef FRONTEND
+ if ((fd = OpenTransientFile(path, O_RDONLY | PG_BINARY)) == -1)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not open file \"%s\" for reading: %m",
+ path)));
+ else if (fstat(fd, &st))
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not stat file \"%s\": %m",
+ path)));
+#else
+ if ((fd = open(path, O_RDONLY | PG_BINARY, 0)) == -1)
+ pg_log_fatal("could not open file \"%s\" for reading: %m",
+ path);
+ else if (fstat(fd, &st))
+ pg_log_fatal("could not stat file \"%s\": %m",
+ path);
+#endif
+
+ *key_len = st.st_size;
+
+#ifndef FRONTEND
+ pgstat_report_wait_start(WAIT_EVENT_KEY_FILE_READ);
+#endif
+
+ *key_p = (unsigned char *) palloc0(*key_len);
+
+ /* Get key bytes */
+ r = read(fd, *key_p, *key_len);
+ if (r != *key_len)
+ {
+ if (r < 0)
+ {
+#ifndef FRONTEND
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not read file \"%s\": %m", path)));
+#else
+ pg_log_fatal("could not read file \"%s\": %m", path);
+#endif
+ }
+ else
+ {
+#ifndef FRONTEND
+ ereport(ERROR,
+ (errcode(ERRCODE_DATA_CORRUPTED),
+ errmsg("could not read file \"%s\": read %d of %u",
+ path, r, *key_len)));
+#else
+ pg_log_fatal("could not read file \"%s\": read %d of %u",
+ path, r, *key_len);
+#endif
+ }
+ }
+
+#ifndef FRONTEND
+ pgstat_report_wait_end();
+#endif
+
+#ifndef FRONTEND
+ if (CloseTransientFile(fd) != 0)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not close file \"%s\": %m",
+ path)));
+#else
+ if (close(fd) != 0)
+ pg_log_fatal("could not close file \"%s\": %m", path);
+#endif
+}
diff --git a/src/include/common/cipher.h b/src/include/common/cipher.h
new file mode 100644
index 0000000000..da97ca3776
--- /dev/null
+++ b/src/include/common/cipher.h
@@ -0,0 +1,74 @@
+/*-------------------------------------------------------------------------
+ *
+ * cipher.h
+ * Declarations for cryptographic functions
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * src/include/common/cipher.h
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef PG_CIPHER_H
+#define PG_CIPHER_H
+
+#ifdef USE_OPENSSL
+#include <openssl/evp.h>
+#include <openssl/conf.h>
+#include <openssl/err.h>
+#endif
+
+/*
+ * Supported symmetric encryption algorithm. These identifiers are passed
+ * to pg_cipher_ctx_create() function, and then actual encryption
+ * implementations need to initialize their context of the given encryption
+ * algorithm.
+ */
+#define PG_CIPHER_AES_GCM 0
+#define PG_CIPHER_AES_CTR 1
+#define PG_CIPHER_AES_KWP 2
+#define PG_MAX_CIPHER_ID 2
+
+/* AES128/192/256 various length definitions */
+#define PG_AES128_KEY_LEN (128 / 8)
+#define PG_AES192_KEY_LEN (192 / 8)
+#define PG_AES256_KEY_LEN (256 / 8)
+
+/*
+ * The encrypted data is a series of blocks of size. Initialization
+ * vector(IV) is the same size of cipher block.
+ */
+#define PG_AES_BLOCK_SIZE 16
+#define PG_AES_IV_SIZE (PG_AES_BLOCK_SIZE)
+
+#ifdef USE_OPENSSL
+typedef EVP_CIPHER_CTX PgCipherCtx;
+#else
+typedef void PgCipherCtx;
+#endif
+
+extern PgCipherCtx *pg_cipher_ctx_create(int cipher, unsigned char *key, int klen,
+ bool enc);
+
+extern void pg_cipher_ctx_free(PgCipherCtx *ctx);
+extern bool pg_cipher_encrypt(PgCipherCtx *ctx, int cipher,
+ const unsigned char *plaintext, const int inlen,
+ unsigned char *ciphertext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *tag, const int taglen);
+extern bool pg_cipher_decrypt(PgCipherCtx *ctx, const int cipher,
+ const unsigned char *ciphertext, const int inlen,
+ unsigned char *plaintext, int *outlen,
+ const unsigned char *iv, const int ivlen,
+ unsigned char *intag, const int taglen);
+
+extern bool pg_cipher_keywrap(PgCipherCtx *ctx,
+ const unsigned char *plaintext, const int inlen,
+ unsigned char *ciphertext, int *outlen);
+extern bool pg_cipher_keyunwrap(PgCipherCtx *ctx,
+ const unsigned char *ciphertext, const int inlen,
+ unsigned char *plaintext, int *outlen);
+
+extern int pg_cipher_blocksize(PgCipherCtx *ctx);
+
+#endif /* PG_CIPHER_H */
diff --git a/src/include/common/kmgr_utils.h b/src/include/common/kmgr_utils.h
new file mode 100644
index 0000000000..ca264db728
--- /dev/null
+++ b/src/include/common/kmgr_utils.h
@@ -0,0 +1,94 @@
+/*-------------------------------------------------------------------------
+ *
+ * kmgr_utils.h
+ * Declarations for utility function for file encryption key
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * src/include/common/kmgr_utils.h
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef KMGR_UTILS_H
+#define KMGR_UTILS_H
+
+#include "common/cipher.h"
+
+/* Current version number */
+#define KMGR_VERSION 1
+
+/*
+ * Directories where cluster file encryption keys reside within PGDATA.
+ */
+#define KMGR_DIR "pg_cryptokeys"
+#define KMGR_DIR_PID KMGR_DIR"/pg_alterckey.pid"
+#define LIVE_KMGR_DIR KMGR_DIR"/live"
+/* used during cluster key rotation */
+#define NEW_KMGR_DIR KMGR_DIR"/new"
+#define OLD_KMGR_DIR KMGR_DIR"/old"
+
+/* CryptoKey file name is keys id */
+#define CryptoKeyFilePath(path, dir, id) \
+ snprintf((path), MAXPGPATH, "%s/%s.wkey", (dir), (wkey_filenames[id]))
+
+/*
+ * Identifiers of internal keys.
+ */
+#define KMGR_KEY_ID_REL 0
+#define KMGR_KEY_ID_WAL 1
+#define KMGR_NUM_DATA_KEYS 2
+
+/* We always, today, use a 256-bit AES key. */
+#define KMGR_CLUSTER_KEY_LEN PG_AES256_KEY_LEN
+
+/* double for hex format, plus some for spaces, \r,\n, and null byte */
+#define ALLOC_KMGR_CLUSTER_KEY_LEN (KMGR_CLUSTER_KEY_LEN * 2 + 10 + 2 + 1)
+
+/* Maximum length of key the key manager can store */
+#define KMGR_MAX_KEY_LEN 256
+#define KMGR_MAX_KEY_LEN_BYTES KMGR_MAX_KEY_LEN / 8
+
+
+/*
+ * Cryptographic key data structure.
+ *
+ * This is the structure we use to write out the encrypted keys and
+ * which we use to store the keys in shared memory.
+ *
+ * Note that wrapping this structure results in an encrypted byte
+ * string which is what we actually write and then read back in.
+ *
+ * klen is the key length in bytes
+ * key is the encryption key of klen length
+ */
+typedef struct CryptoKey
+{
+ int klen; /* key length in bytes */
+ unsigned char key[KMGR_MAX_KEY_LEN_BYTES];
+} CryptoKey;
+
+/* Encryption method array */
+typedef struct encryption_method
+{
+ const char *name;
+ const int bit_length;
+} encryption_method;
+
+#define NUM_ENCRYPTION_METHODS 4
+#define DISABLED_ENCRYPTION_METHOD 0
+#define DEFAULT_ENABLED_ENCRYPTION_METHOD 1
+
+extern encryption_method encryption_methods[NUM_ENCRYPTION_METHODS];
+extern char *wkey_filenames[KMGR_NUM_DATA_KEYS];
+
+extern bool kmgr_wrap_data_key(PgCipherCtx *ctx, CryptoKey *in, unsigned char *out, int *outlen);
+extern bool kmgr_unwrap_data_key(PgCipherCtx *ctx, unsigned char *in, int inlen, CryptoKey *out);
+extern bool kmgr_verify_cluster_key(unsigned char *cluster_key,
+ unsigned char **in_keys, int *klens, CryptoKey *out_keys);
+extern int kmgr_run_cluster_key_command(char *cluster_key_command,
+ char *buf, int size, char *dir,
+ int terminal_fd);
+extern void kmgr_read_wrapped_data_keys(const char *path, unsigned char **keys,
+ int *key_lens);
+
+#endif /* KMGR_UTILS_H */
diff --git a/src/include/utils/wait_event.h b/src/include/utils/wait_event.h
index 44448b48ec..c872fc4746 100644
--- a/src/include/utils/wait_event.h
+++ b/src/include/utils/wait_event.h
@@ -170,6 +170,9 @@ typedef enum
WAIT_EVENT_DATA_FILE_TRUNCATE,
WAIT_EVENT_DATA_FILE_WRITE,
WAIT_EVENT_DSM_FILL_ZERO_WRITE,
+ WAIT_EVENT_KEY_FILE_READ,
+ WAIT_EVENT_KEY_FILE_WRITE,
+ WAIT_EVENT_KEY_FILE_SYNC,
WAIT_EVENT_LOCK_FILE_ADDTODATADIR_READ,
WAIT_EVENT_LOCK_FILE_ADDTODATADIR_SYNC,
WAIT_EVENT_LOCK_FILE_ADDTODATADIR_WRITE,
diff --git a/src/tools/msvc/Mkvcbuild.pm b/src/tools/msvc/Mkvcbuild.pm
index 58a99e4f10..893f73af7d 100644
--- a/src/tools/msvc/Mkvcbuild.pm
+++ b/src/tools/msvc/Mkvcbuild.pm
@@ -124,19 +124,21 @@ sub mkvcbuild
archive.c base64.c checksum_helper.c
config_info.c controldata_utils.c d2s.c encnames.c exec.c
f2s.c file_perm.c file_utils.c hashfn.c hex.c ip.c jsonapi.c
- keywords.c kwlookup.c link-canary.c md5_common.c
+ keywords.c kmgr_utils.c kwlookup.c link-canary.c md5_common.c
pg_get_line.c pg_lzcompress.c pgfnames.c psprintf.c relpath.c rmtree.c
saslprep.c scram-common.c string.c stringinfo.c unicode_norm.c username.c
wait_error.c wchar.c);
if ($solution->{options}->{openssl})
{
+ push(@pgcommonallfiles, 'cipher_openssl.c');
push(@pgcommonallfiles, 'cryptohash_openssl.c');
push(@pgcommonallfiles, 'hmac_openssl.c');
push(@pgcommonallfiles, 'protocol_openssl.c');
}
else
{
+ push(@pgcommonallfiles, 'cipher.c');
push(@pgcommonallfiles, 'cryptohash.c');
push(@pgcommonallfiles, 'hmac.c');
push(@pgcommonallfiles, 'md5.c');
--
2.20.1
cfe-05-crypto_over_cfe-04-common.difftext/x-diff; charset=us-asciiDownload
From 3d106557aa708d74efb742d225a8362f1085ae89 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:38 -0400
Subject: [PATCH] cfe-05-crypto_over_cfe-04-common squash commit
---
doc/src/sgml/config.sgml | 118 +++++++-
src/backend/crypto/Makefile (new) | 18 ++
src/backend/crypto/kmgr.c (new) | 439 ++++++++++++++++++++++++++++++
src/include/crypto/kmgr.h (new) | 25 ++
4 files changed, 586 insertions(+), 14 deletions(-)
diff --git a/doc/src/sgml/config.sgml b/doc/src/sgml/config.sgml
index effc60c07b..d7b6e368d0 100644
--- a/doc/src/sgml/config.sgml
+++ b/doc/src/sgml/config.sgml
@@ -1531,19 +1531,31 @@ include_dir 'conf.d'
mechanism is used.
</para>
<para>
- The command must print the passphrase to the standard output and exit
- with code 0. In the parameter value, <literal>%p</literal> is
- replaced by a prompt string. (Write <literal>%%</literal> for a
- literal <literal>%</literal>.) Note that the prompt string will
- probably contain whitespace, so be sure to quote adequately. A single
- newline is stripped from the end of the output if present.
+ The command must print the passphrase to the standard output
+ and exit with code 0. It can prompt from the terminal if
+ <option>--authprompt</option> is used. In the parameter
+ value, <literal>%R</literal> is replaced by a file descriptor
+ number opened to the terminal that started the server. A file
+ descriptor is only available if enabled at server start via
+ <option>-R</option>. If <literal>%R</literal> is specified and
+ no file descriptor is available, the server will not start. Value
+ <literal>%p</literal> is replaced by a pre-defined prompt string.
+ (Write <literal>%%</literal> for a literal <literal>%</literal>.)
+ Note that the prompt string will probably contain whitespace,
+ so be sure to quote its use adequately. Newlines are stripped
+ from the end of the output if present.
</para>
+
<para>
- The command does not actually have to prompt the user for a
- passphrase. It can read it from a file, obtain it from a keychain
- facility, or similar. It is up to the user to make sure the chosen
- mechanism is adequately secure.
+ Sample scripts can be found in
+ <filename>$SHAREDIR/auth_commands</filename>,
+ where <literal>$SHAREDIR</literal> means the
+ <productname>PostgreSQL</productname> installation's shared-data
+ directory, often <filename>/usr/local/share/postgresql</filename>
+ (use <command>pg_config --sharedir</command> to determine it if
+ you're not sure).
</para>
+
<para>
This parameter can only be set in the <filename>postgresql.conf</filename>
file or on the server command line.
@@ -1565,10 +1577,12 @@ include_dir 'conf.d'
parameter is off (the default), then
<varname>ssl_passphrase_command</varname> will be ignored during a
reload and the SSL configuration will not be reloaded if a passphrase
- is needed. That setting is appropriate for a command that requires a
- TTY for prompting, which might not be available when the server is
- running. Setting this parameter to on might be appropriate if the
- passphrase is obtained from a file, for example.
+ is needed. This setting is appropriate for a command that requires a
+ terminal for prompting, which will likely not be available when the server is
+ running. (<option>--authprompt</option> closes the terminal file
+ descriptor soon after server start.) Setting this parameter on
+ might be appropriate, for example, if the passphrase is obtained
+ from a file.
</para>
<para>
This parameter can only be set in the <filename>postgresql.conf</filename>
@@ -2724,6 +2738,8 @@ include_dir 'conf.d'
<literal>minimal</literal> makes any base backups taken before
unavailable for archive recovery and standby server, which may
lead to database loss.
+ Cluster file encryption also does not support
+ <varname>wal_level</varname> <literal>minimal</literal>.
</para>
<para>
In <literal>logical</literal> level, the same information is logged as
@@ -7998,6 +8014,64 @@ COPY postgres_log FROM '/full/path/to/logfile.csv' WITH csv;
</variablelist>
</sect1>
+ <sect1 id="runtime-config-encryption">
+ <title>Cluster File Encryption</title>
+
+ <variablelist>
+ <varlistentry id="guc-cluster-key-command" xreflabel="cluster_key_command">
+ <term><varname>cluster_key_command</varname> (<type>string</type>)
+ <indexterm>
+ <primary><varname>cluster_key_command</varname> configuration parameter</primary>
+ </indexterm>
+ </term>
+ <listitem>
+ <para>
+ This option specifies an external command to obtain the cluster-level
+ key for cluster file encryption during server initialization and
+ server start.
+ </para>
+ <para>
+ The command must print the cluster key to the standard
+ output as 64 hexadecimal characters, and exit with code 0.
+ The command can prompt for the passphrase or PIN from the
+ terminal if <option>--authprompt</option> is used. In the
+ parameter value, <literal>%R</literal> is replaced by a file
+ descriptor number opened to the terminal that started the server.
+ A file descriptor is only available if enabled at server start
+ via <option>-R</option>. If <literal>%R</literal> is specified
+ and no file descriptor is available, the server will not start.
+ Value <literal>%p</literal> is replaced by a pre-defined
+ prompt string. Value <literal>%d</literal> is replaced by the
+ directory containing the keys; this is useful if the command
+ must create files with the keys, e.g., to store a cluster-level
+ key encrypted by a key stored in a hardware security module.
+ (Write <literal>%%</literal> for a literal <literal>%</literal>.)
+ Note that the prompt string will probably contain whitespace,
+ so be sure to quote its use adequately. Newlines are stripped
+ from the end of the output if present.
+ </para>
+
+ <para>
+ Sample script can be found in
+ <filename>$SHAREDIR/auth_commands</filename>,
+ where <literal>$SHAREDIR</literal> means the
+ <productname>PostgreSQL</productname> installation's shared-data
+ directory, often <filename>/usr/local/share/postgresql</filename>
+ (use <command>pg_config --sharedir</command> to determine it if
+ you're not sure).
+ </para>
+
+ <para>
+ This parameter can only be set by
+ <application>initdb</application>, in the
+ <filename>postgresql.conf</filename> file, or on the server
+ command line.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </sect1>
+
<sect1 id="runtime-config-client">
<title>Client Connection Defaults</title>
@@ -9890,6 +9964,22 @@ dynamic_library_path = 'C:\tools\postgresql;H:\my_project\lib;$libdir'
</listitem>
</varlistentry>
+ <varlistentry id="guc-file-encryption-method" xreflabel="file_encryption_method">
+ <term><varname>file_encryption_method</varname> (<type>boolean</type>)
+ <indexterm>
+ <primary>Cluster file encryption method</primary>
+ </indexterm>
+ </term>
+ <listitem>
+ <para>
+ Reports the cluster file
+ encryption method. See <xref
+ linkend="app-initdb-cluster-key-command"/> for more
+ information.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry id="guc-data-directory-mode" xreflabel="data_directory_mode">
<term><varname>data_directory_mode</varname> (<type>integer</type>)
<indexterm>
diff --git a/src/backend/crypto/Makefile b/src/backend/crypto/Makefile
new file mode 100644
index 0000000000..c27362029d
--- /dev/null
+++ b/src/backend/crypto/Makefile
@@ -0,0 +1,18 @@
+#-------------------------------------------------------------------------
+#
+# Makefile
+# Makefile for src/backend/crypto
+#
+# IDENTIFICATION
+# src/backend/crypto/Makefile
+#
+#-------------------------------------------------------------------------
+
+subdir = src/backend/crypto
+top_builddir = ../../..
+include $(top_builddir)/src/Makefile.global
+
+OBJS = \
+ kmgr.o
+
+include $(top_srcdir)/src/backend/common.mk
diff --git a/src/backend/crypto/kmgr.c b/src/backend/crypto/kmgr.c
new file mode 100644
index 0000000000..f4d97879ce
--- /dev/null
+++ b/src/backend/crypto/kmgr.c
@@ -0,0 +1,439 @@
+/*-------------------------------------------------------------------------
+ *
+ * kmgr.c
+ * Cluster file encryption routines
+ *
+ * Cluster file encryption is enabled if user requests it during initdb.
+ * During bootstrap, we generate data encryption keys, wrap them with the
+ * cluster-level key, and store them into each file located at KMGR_DIR.
+ * During startup, we decrypt all internal keys and load them to the shared
+ * memory. Internal keys in the shared memory are read-only. The wrapping
+ * and unwrapping key routines require the OpenSSL library.
+ *
+ * Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * IDENTIFICATION
+ * src/backend/crypto/kmgr.c
+ *-------------------------------------------------------------------------
+ */
+
+#include "postgres.h"
+
+#include <sys/stat.h>
+#include <unistd.h>
+
+#include "funcapi.h"
+#include "miscadmin.h"
+#include "pgstat.h"
+
+#include "access/xlog.h"
+#include "common/file_perm.h"
+#include "common/hex.h"
+#include "common/kmgr_utils.h"
+#include "common/sha2.h"
+#include "access/xlog.h"
+#include "common/controldata_utils.h"
+#include "crypto/kmgr.h"
+#include "postmaster/postmaster.h"
+#include "storage/copydir.h"
+#include "storage/fd.h"
+#include "storage/ipc.h"
+#include "storage/shmem.h"
+#include "utils/builtins.h"
+#include "utils/memutils.h"
+/* Struct stores file encryption keys in plaintext format */
+typedef struct KmgrShmemData
+{
+ CryptoKey intlKeys[KMGR_NUM_DATA_KEYS];
+} KmgrShmemData;
+static KmgrShmemData *KmgrShmem;
+
+/* GUC variables */
+char *cluster_key_command = NULL;
+
+CryptoKey bootstrap_keys[KMGR_NUM_DATA_KEYS];
+
+extern char *bootstrap_old_key_datadir;
+extern int bootstrap_file_encryption_method;
+
+static void bzeroKmgrKeys(int status, Datum arg);
+static void KmgrWriteCryptoKeys(const char *dir, unsigned char **keys, int *key_lens);
+static CryptoKey *generate_crypto_key(int len);
+
+/*
+ * This function must be called ONCE during initdb. It creates the DEK
+ * files wrapped with the KEK supplied by kmgr_run_cluster_key_command().
+ * There is also an option for the keys to be copied from another cluster.
+ */
+void
+BootStrapKmgr(void)
+{
+ char live_path[MAXPGPATH];
+ unsigned char *keys_wrap[KMGR_NUM_DATA_KEYS];
+ int key_lens[KMGR_NUM_DATA_KEYS];
+ char cluster_key_hex[ALLOC_KMGR_CLUSTER_KEY_LEN];
+ int cluster_key_hex_len;
+ unsigned char cluster_key[KMGR_CLUSTER_KEY_LEN];
+
+ if (!FileEncryptionEnabled)
+ return;
+
+#ifndef USE_OPENSSL
+ ereport(ERROR,
+ (errcode(ERRCODE_CONFIG_FILE_ERROR),
+ (errmsg("cluster file encryption is not supported because OpenSSL is not supported by this build"),
+ errhint("Compile with --with-openssl to use this feature."))));
+#endif
+
+ /*
+ * There are too many optimizations for wal_level=minimal that don't set
+ * LSNs for permanent tables, so just disallow it.
+ */
+ if (!XLogIsNeeded())
+ ereport(ERROR,
+ (errcode(ERRCODE_CONFIG_FILE_ERROR),
+ (errmsg("cluster file encryption is not supported with a wal_level of \"minimal\""))));
+
+ snprintf(live_path, sizeof(live_path), "%s/%s", DataDir, LIVE_KMGR_DIR);
+
+ /*
+ * Copy cluster file encryption keys from an old cluster? This is useful
+ * for pg_upgrade upgrades where the copied database files are already
+ * encrypted using the old cluster's DEK keys.
+ */
+ if (bootstrap_old_key_datadir != NULL)
+ {
+ char old_key_dir[MAXPGPATH];
+
+ snprintf(old_key_dir, sizeof(old_key_dir), "%s/%s",
+ bootstrap_old_key_datadir, LIVE_KMGR_DIR);
+ copydir(old_key_dir, LIVE_KMGR_DIR, true);
+ }
+ /* create an empty directory */
+ else
+ {
+ if (mkdir(LIVE_KMGR_DIR, pg_dir_create_mode) < 0)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not create cluster file encryption directory \"%s\": %m",
+ LIVE_KMGR_DIR)));
+ }
+
+ /*
+ * Get key encryption key (KEK) from the cluster_key command. The cluster
+ * key command might need to check for the existence of files in the live
+ * directory, e.g., PIV, so run this _after_ copying the directory in
+ * place.
+ */
+ cluster_key_hex_len = kmgr_run_cluster_key_command(cluster_key_command,
+ cluster_key_hex,
+ ALLOC_KMGR_CLUSTER_KEY_LEN,
+ live_path, terminal_fd);
+
+ /* decode supplied hex */
+ if (pg_hex_decode(cluster_key_hex, cluster_key_hex_len,
+ (char *) cluster_key, KMGR_CLUSTER_KEY_LEN) !=
+ KMGR_CLUSTER_KEY_LEN)
+ ereport(ERROR,
+ (errmsg("cluster key must be %d hexadecimal characters",
+ KMGR_CLUSTER_KEY_LEN * 2)));
+
+ /* We are not in copy mode? Generate new cluster file encryption keys. */
+ if (bootstrap_old_key_datadir == NULL)
+ {
+ unsigned char *bootstrap_keys_wrap[KMGR_NUM_DATA_KEYS];
+ int key_lens[KMGR_NUM_DATA_KEYS];
+ PgCipherCtx *cluster_key_ctx;
+
+ /* Create KEK encryption context */
+ cluster_key_ctx = pg_cipher_ctx_create(PG_CIPHER_AES_KWP, cluster_key,
+ KMGR_CLUSTER_KEY_LEN, true);
+ if (!cluster_key_ctx)
+ elog(ERROR, "could not initialize encryption context");
+
+ /* Wrap data encryption keys (DEK) using the key encryption key (KEK) */
+ for (int id = 0; id < KMGR_NUM_DATA_KEYS; id++)
+ {
+ CryptoKey *key;
+
+ /* generate a DEK */
+ key = generate_crypto_key(
+ encryption_methods[bootstrap_file_encryption_method].bit_length / 8);
+
+ /* output generated random string as hex, for testing */
+ {
+ char str[MAXPGPATH];
+ int out_len;
+
+ out_len = pg_hex_encode((char *) (key->key), key->klen,
+ str, MAXPGPATH - 1);
+ str[out_len] = '\0';
+ }
+
+ bootstrap_keys_wrap[id] = palloc0(KMGR_MAX_KEY_LEN_BYTES +
+ pg_cipher_blocksize(cluster_key_ctx));
+
+ /* wrap DEK with KEK */
+ if (!kmgr_wrap_data_key(cluster_key_ctx, key, bootstrap_keys_wrap[id], &(key_lens[id])))
+ {
+ pg_cipher_ctx_free(cluster_key_ctx);
+ elog(ERROR, "failed to wrap data encryption key");
+ }
+
+ /* remove DEK from memory */
+ explicit_bzero(key, sizeof(CryptoKey));
+ }
+
+ /* Write data encryption keys to the disk */
+ KmgrWriteCryptoKeys(LIVE_KMGR_DIR, bootstrap_keys_wrap, key_lens);
+
+ pg_cipher_ctx_free(cluster_key_ctx);
+ }
+
+ /*
+ * We are either decrypting keys we copied from an old cluster, or
+ * decrypting keys we just wrote above --- either way, we decrypt them
+ * here and store them in a file-scoped variable for use in later
+ * encrypting during bootstrap mode.
+ */
+
+ /* Get the crypto keys from the live directory */
+ kmgr_read_wrapped_data_keys(LIVE_KMGR_DIR, keys_wrap, key_lens);
+
+ if (!kmgr_verify_cluster_key(cluster_key, keys_wrap, key_lens, bootstrap_keys))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("supplied cluster key does not match expected cluster_key")));
+
+ /* bzero DEK on exit */
+ on_proc_exit(bzeroKmgrKeys, 0);
+
+ /* bzero KEK */
+ explicit_bzero(cluster_key_hex, cluster_key_hex_len);
+ explicit_bzero(cluster_key, KMGR_CLUSTER_KEY_LEN);
+}
+
+/* Report shared-memory space needed by KmgrShmem */
+Size
+KmgrShmemSize(void)
+{
+ if (!FileEncryptionEnabled)
+ return 0;
+
+ return MAXALIGN(sizeof(KmgrShmemData));
+}
+
+/* Allocate and initialize key manager memory */
+void
+KmgrShmemInit(void)
+{
+ bool found;
+
+ if (!FileEncryptionEnabled)
+ return;
+
+ KmgrShmem = (KmgrShmemData *) ShmemInitStruct("File encryption key manager",
+ KmgrShmemSize(), &found);
+
+ /* bzero DEK on exit */
+ on_shmem_exit(bzeroKmgrKeys, 0);
+}
+
+/*
+ * Get cluster key and verify it, then get the data encryption keys.
+ * This function is called by postmaster at startup time.
+ */
+void
+InitializeKmgr(void)
+{
+ unsigned char *keys_wrap[KMGR_NUM_DATA_KEYS];
+ int key_lens[KMGR_NUM_DATA_KEYS];
+ char cluster_key_hex[ALLOC_KMGR_CLUSTER_KEY_LEN];
+ int cluster_key_hex_len;
+ struct stat buffer;
+ char live_path[MAXPGPATH];
+ unsigned char cluster_key[KMGR_CLUSTER_KEY_LEN];
+
+#ifndef USE_OPENSSL
+ ereport(ERROR,
+ (errcode(ERRCODE_CONFIG_FILE_ERROR),
+ (errmsg("cluster file encryption is not supported because OpenSSL is not supported by this build"),
+ errhint("Compile with --with-openssl to use this feature."))));
+#endif
+
+ /*
+ * There are too many optimizations for wal_level=minimal that don't set
+ * LSNs for permanent tables, so just disallow it.
+ */
+ if (!XLogIsNeeded())
+ ereport(ERROR,
+ (errcode(ERRCODE_CONFIG_FILE_ERROR),
+ (errmsg("cluster file encryption is not supported with a wal_level of \"minimal\""))));
+
+ elog(DEBUG1, "starting up cluster file encryption manager");
+
+ if (stat(KMGR_DIR, &buffer) != 0 || !S_ISDIR(buffer.st_mode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ (errmsg("cluster file encryption directory %s is missing", KMGR_DIR))));
+
+ if (stat(KMGR_DIR_PID, &buffer) == 0)
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ (errmsg("cluster had a pg_alterckey failure that needs repair or pg_alterckey is running"),
+ errhint("Run pg_alterckey --repair or wait for it to complete."))));
+
+ /*
+ * We want OLD deleted since it allows access to the data encryption keys
+ * using the old cluster key. If NEW exists, it means either the new
+ * directory is partly written, or NEW wasn't renamed to LIVE --- in
+ * either case, it needs to be repaired. See src/bin/pg_alterckey/README
+ * for more details.
+ */
+ if (stat(OLD_KMGR_DIR, &buffer) == 0 || stat(NEW_KMGR_DIR, &buffer) == 0)
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ (errmsg("cluster had a pg_alterckey failure that needs repair"),
+ errhint("Run pg_alterckey --repair."))));
+
+ /* If OLD, NEW, and LIVE do not exist, there is a serious problem. */
+ if (stat(LIVE_KMGR_DIR, &buffer) != 0 || !S_ISDIR(buffer.st_mode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ (errmsg("cluster has no data encryption keys"))));
+
+ /* Get the cluster key (KEK) */
+ snprintf(live_path, sizeof(live_path), "%s/%s", DataDir, LIVE_KMGR_DIR);
+ cluster_key_hex_len = kmgr_run_cluster_key_command(cluster_key_command,
+ cluster_key_hex,
+ ALLOC_KMGR_CLUSTER_KEY_LEN,
+ live_path, terminal_fd);
+
+ /* decode supplied hex */
+ if (pg_hex_decode(cluster_key_hex, cluster_key_hex_len,
+ (char *) cluster_key, KMGR_CLUSTER_KEY_LEN) !=
+ KMGR_CLUSTER_KEY_LEN)
+ ereport(ERROR,
+ (errmsg("cluster key must be %d hexadecimal characters",
+ KMGR_CLUSTER_KEY_LEN * 2)));
+
+ /* Load wrapped DEKs from their files into an array */
+ kmgr_read_wrapped_data_keys(LIVE_KMGR_DIR, keys_wrap, key_lens);
+
+ /*
+ * Verify cluster key and store the unwrapped data encryption keys in
+ * shared memory.
+ */
+ if (!kmgr_verify_cluster_key(cluster_key, keys_wrap, key_lens, KmgrShmem->intlKeys))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("supplied cluster key does not match expected cluster key")));
+
+ /* Check that retrieved key lengths match controldata length. */
+ for (int id = 0; id < KMGR_NUM_DATA_KEYS; id++)
+ if (KmgrShmem->intlKeys[id].klen * 8 !=
+ encryption_methods[GetFileEncryptionMethod()].bit_length)
+ {
+ char path[MAXPGPATH];
+
+ CryptoKeyFilePath(path, DataDir, id);
+
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("data encryption key %s of length %d does not match controldata key length %d",
+ path, KmgrShmem->intlKeys[id].klen * 8,
+ encryption_methods[GetFileEncryptionMethod()].bit_length)));
+ }
+
+ /* bzero KEK */
+ explicit_bzero(cluster_key_hex, cluster_key_hex_len);
+ explicit_bzero(cluster_key, KMGR_CLUSTER_KEY_LEN);
+}
+
+static void
+bzeroKmgrKeys(int status, Datum arg)
+{
+ if (IsBootstrapProcessingMode())
+ explicit_bzero(bootstrap_keys, sizeof(bootstrap_keys));
+ else
+ explicit_bzero(KmgrShmem->intlKeys, sizeof(KmgrShmem->intlKeys));
+}
+
+/* return requested DEK */
+const CryptoKey *
+KmgrGetKey(int id)
+{
+ Assert(id < KMGR_NUM_DATA_KEYS);
+
+ return (const CryptoKey *) (IsBootstrapProcessingMode() ?
+ &(bootstrap_keys[id]) : &(KmgrShmem->intlKeys[id]));
+}
+
+/* Generate a DEK inside a CryptoKey */
+static CryptoKey *
+generate_crypto_key(int len)
+{
+ CryptoKey *newkey;
+
+ Assert(len <= KMGR_MAX_KEY_LEN);
+ newkey = (CryptoKey *) palloc0(sizeof(CryptoKey));
+
+ newkey->klen = len;
+
+ if (!pg_strong_random(newkey->key, len))
+ elog(ERROR, "failed to generate new file encryption key");
+
+ return newkey;
+}
+
+/*
+ * Write the DEKs to the disk.
+ */
+static void
+KmgrWriteCryptoKeys(const char *dir, unsigned char **keys, int *key_lens)
+{
+ elog(DEBUG2, "writing data encryption keys wrapped using the cluster key");
+
+ for (int i = 0; i < KMGR_NUM_DATA_KEYS; i++)
+ {
+ int fd;
+ char path[MAXPGPATH];
+
+ CryptoKeyFilePath(path, dir, i);
+
+ if ((fd = BasicOpenFile(path, O_RDWR | O_CREAT | O_EXCL | PG_BINARY)) < 0)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not open file \"%s\": %m",
+ path)));
+
+ errno = 0;
+ pgstat_report_wait_start(WAIT_EVENT_KEY_FILE_WRITE);
+ if (write(fd, keys[i], key_lens[i]) != key_lens[i])
+ {
+ /* if write didn't set errno, assume problem is no disk space */
+ if (errno == 0)
+ errno = ENOSPC;
+
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not write file \"%s\": %m",
+ path)));
+ }
+ pgstat_report_wait_end();
+
+ pgstat_report_wait_start(WAIT_EVENT_KEY_FILE_SYNC);
+ if (pg_fsync(fd) != 0)
+ ereport(PANIC,
+ (errcode_for_file_access(),
+ errmsg("could not fsync file \"%s\": %m",
+ path)));
+ pgstat_report_wait_end();
+
+ if (close(fd) != 0)
+ ereport(ERROR,
+ (errcode_for_file_access(),
+ errmsg("could not close file \"%s\": %m",
+ path)));
+ }
+}
diff --git a/src/include/crypto/kmgr.h b/src/include/crypto/kmgr.h
new file mode 100644
index 0000000000..ec341c70b9
--- /dev/null
+++ b/src/include/crypto/kmgr.h
@@ -0,0 +1,25 @@
+/*-------------------------------------------------------------------------
+ *
+ * kmgr.h
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * src/include/crypto/kmgr.h
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef KMGR_H
+#define KMGR_H
+
+#include "common/kmgr_utils.h"
+
+/* GUC parameters */
+extern char *cluster_key_command;
+
+extern Size KmgrShmemSize(void);
+extern void KmgrShmemInit(void);
+extern void BootStrapKmgr(void);
+extern void InitializeKmgr(void);
+extern const CryptoKey *KmgrGetKey(int id);
+
+#endif /* KMGR_H */
--
2.20.1
cfe-06-backend_over_cfe-05-crypto.difftext/x-diff; charset=us-asciiDownload
From 0a3850da7744313de481b4ee50141738d50e163c Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:40 -0400
Subject: [PATCH] cfe-06-backend_over_cfe-05-crypto squash commit
---
doc/src/sgml/storage.sgml | 5 +++
src/backend/Makefile | 2 +-
src/backend/access/transam/xlog.c | 33 +++++++++++++++++++
src/backend/bootstrap/bootstrap.c | 29 +++++++++++++++-
src/backend/crypto/kmgr.c | 3 ++
src/backend/libpq/be-secure-common.c | 14 ++++++++
src/backend/main/main.c | 3 ++
src/backend/postmaster/postmaster.c | 12 ++++++-
src/backend/replication/basebackup.c | 5 +++
src/backend/storage/ipc/ipci.c | 3 ++
src/backend/storage/lmgr/lwlocknames.txt | 1 +
src/backend/tcop/postgres.c | 27 ++++++++++++++-
src/backend/utils/activity/wait_event.c | 9 +++++
src/backend/utils/misc/guc.c | 25 ++++++++++++++
src/backend/utils/misc/pg_controldata.c | 11 +++++--
src/backend/utils/misc/postgresql.conf.sample | 5 +++
src/include/access/xlog.h | 5 +++
src/include/catalog/pg_control.h | 5 ++-
src/include/postmaster/postmaster.h | 2 ++
src/include/utils/guc_tables.h | 1 +
20 files changed, 192 insertions(+), 8 deletions(-)
diff --git a/doc/src/sgml/storage.sgml b/doc/src/sgml/storage.sgml
index 3234adb639..cdbc214a51 100644
--- a/doc/src/sgml/storage.sgml
+++ b/doc/src/sgml/storage.sgml
@@ -77,6 +77,11 @@ Item
<entry>Subdirectory containing transaction commit timestamp data</entry>
</row>
+<row>
+ <entry><filename>pg_cryptokeys</filename></entry>
+ <entry>Subdirectory containing file encryption keys</entry>
+</row>
+
<row>
<entry><filename>pg_dynshmem</filename></entry>
<entry>Subdirectory containing files used by the dynamic shared memory
diff --git a/src/backend/Makefile b/src/backend/Makefile
index 76eb44f632..7d30845a94 100644
--- a/src/backend/Makefile
+++ b/src/backend/Makefile
@@ -21,7 +21,7 @@ SUBDIRS = access bootstrap catalog parser commands executor foreign lib libpq \
main nodes optimizer partitioning port postmaster \
regex replication rewrite \
statistics storage tcop tsearch utils $(top_builddir)/src/timezone \
- jit
+ jit crypto
include $(srcdir)/common.mk
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index c1d4415a43..51165f6593 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -43,6 +43,7 @@
#include "commands/progress.h"
#include "commands/tablespace.h"
#include "common/controldata_utils.h"
+#include "crypto/kmgr.h"
#include "executor/instrument.h"
#include "miscadmin.h"
#include "pg_trace.h"
@@ -50,6 +51,7 @@
#include "port/atomics.h"
#include "port/pg_iovec.h"
#include "postmaster/bgwriter.h"
+#include "postmaster/postmaster.h"
#include "postmaster/startup.h"
#include "postmaster/walwriter.h"
#include "replication/basebackup.h"
@@ -82,6 +84,7 @@
#include "utils/timestamp.h"
extern uint32 bootstrap_data_checksum_version;
+extern int bootstrap_file_encryption_method;
/* Unsupported old recovery command file names (relative to $PGDATA) */
#define RECOVERY_COMMAND_FILE "recovery.conf"
@@ -4650,6 +4653,7 @@ InitControlFile(uint64 sysidentifier)
ControlFile->wal_log_hints = wal_log_hints;
ControlFile->track_commit_timestamp = track_commit_timestamp;
ControlFile->data_checksum_version = bootstrap_data_checksum_version;
+ ControlFile->file_encryption_method = bootstrap_file_encryption_method;
}
static void
@@ -4937,6 +4941,12 @@ ReadControlFile(void)
/* Make the initdb settings visible as GUC variables, too */
SetConfigOption("data_checksums", DataChecksumsEnabled() ? "yes" : "no",
PGC_INTERNAL, PGC_S_OVERRIDE);
+
+ StaticAssertStmt(lengthof(encryption_methods) == NUM_ENCRYPTION_METHODS,
+ "encryption_methods[] must match NUM_ENCRYPTION_METHODS");
+ SetConfigOption("file_encryption_method",
+ encryption_methods[ControlFile->file_encryption_method].name,
+ PGC_INTERNAL, PGC_S_OVERRIDE);
}
/*
@@ -4979,6 +4989,21 @@ DataChecksumsEnabled(void)
return (ControlFile->data_checksum_version > 0);
}
+/*
+ * Is cluster file encryption enabled?
+ */
+int
+GetFileEncryptionMethod(void)
+{
+ if (IsBootstrapProcessingMode())
+ return bootstrap_file_encryption_method;
+ else
+ {
+ Assert(ControlFile != NULL);
+ return ControlFile->file_encryption_method;
+ }
+}
+
/*
* Returns a fake LSN for unlogged relations.
*
@@ -5387,6 +5412,14 @@ BootStrapXLOG(void)
/* some additional ControlFile fields are set in WriteControlFile() */
WriteControlFile();
+ BootStrapKmgr();
+
+ if (terminal_fd != -1)
+ {
+ close(terminal_fd);
+ terminal_fd = -1;
+ }
+
/* Bootstrap the commit log, too */
BootStrapCLOG();
BootStrapCommitTs();
diff --git a/src/backend/bootstrap/bootstrap.c b/src/backend/bootstrap/bootstrap.c
index 174727b501..ce6419ddd6 100644
--- a/src/backend/bootstrap/bootstrap.c
+++ b/src/backend/bootstrap/bootstrap.c
@@ -35,6 +35,7 @@
#include "pg_getopt.h"
#include "pgstat.h"
#include "postmaster/bgwriter.h"
+#include "postmaster/postmaster.h"
#include "postmaster/startup.h"
#include "postmaster/walwriter.h"
#include "replication/walreceiver.h"
@@ -52,6 +53,8 @@
#include "utils/relmapper.h"
uint32 bootstrap_data_checksum_version = 0; /* No checksum */
+int bootstrap_file_encryption_method = DISABLED_ENCRYPTION_METHOD;
+char *bootstrap_old_key_datadir = NULL; /* disabled */
static void CheckerModeMain(void);
@@ -225,7 +228,7 @@ AuxiliaryProcessMain(int argc, char *argv[])
/* If no -x argument, we are a CheckerProcess */
MyAuxProcType = CheckerProcess;
- while ((flag = getopt(argc, argv, "B:c:d:D:Fkr:x:X:-:")) != -1)
+ while ((flag = getopt(argc, argv, "B:c:d:D:FkK:r:R:u:x:X:-:")) != -1)
{
switch (flag)
{
@@ -254,9 +257,33 @@ AuxiliaryProcessMain(int argc, char *argv[])
case 'k':
bootstrap_data_checksum_version = PG_DATA_CHECKSUM_VERSION;
break;
+ case 'K':
+ {
+ int i;
+
+ /* method 0/disabled cannot be specified */
+ for (i = DISABLED_ENCRYPTION_METHOD + 1;
+ i < NUM_ENCRYPTION_METHODS; i++)
+ if (pg_strcasecmp(optarg, encryption_methods[i].name) == 0)
+ {
+ bootstrap_file_encryption_method = i;
+ break;
+ }
+ if (i == NUM_ENCRYPTION_METHODS)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("invalid encryption method specified")));
+ }
+ break;
+ case 'u':
+ bootstrap_old_key_datadir = pstrdup(optarg);
+ break;
case 'r':
strlcpy(OutputFileName, optarg, MAXPGPATH);
break;
+ case 'R':
+ terminal_fd = atoi(optarg);
+ break;
case 'x':
MyAuxProcType = atoi(optarg);
break;
diff --git a/src/backend/crypto/kmgr.c b/src/backend/crypto/kmgr.c
index f4d97879ce..fc98670950 100644
--- a/src/backend/crypto/kmgr.c
+++ b/src/backend/crypto/kmgr.c
@@ -254,6 +254,9 @@ InitializeKmgr(void)
char live_path[MAXPGPATH];
unsigned char cluster_key[KMGR_CLUSTER_KEY_LEN];
+ if (!FileEncryptionEnabled)
+ return;
+
#ifndef USE_OPENSSL
ereport(ERROR,
(errcode(ERRCODE_CONFIG_FILE_ERROR),
diff --git a/src/backend/libpq/be-secure-common.c b/src/backend/libpq/be-secure-common.c
index a212308666..66468f4647 100644
--- a/src/backend/libpq/be-secure-common.c
+++ b/src/backend/libpq/be-secure-common.c
@@ -22,6 +22,7 @@
#include <sys/stat.h>
#include <unistd.h>
+#include "postmaster/postmaster.h"
#include "common/string.h"
#include "libpq/libpq.h"
#include "storage/fd.h"
@@ -61,6 +62,19 @@ run_ssl_passphrase_command(const char *prompt, bool is_server_start, char *buf,
appendStringInfoString(&command, prompt);
p++;
break;
+ case 'R':
+ {
+ char fd_str[20];
+
+ if (terminal_fd == -1)
+ ereport(ERROR,
+ (errcode(ERRCODE_INTERNAL_ERROR),
+ errmsg("ssl_passphrase_command referenced %%R, but -R not specified")));
+ p++;
+ snprintf(fd_str, sizeof(fd_str), "%d", terminal_fd);
+ appendStringInfoString(&command, fd_str);
+ break;
+ }
case '%':
appendStringInfoChar(&command, '%');
p++;
diff --git a/src/backend/main/main.c b/src/backend/main/main.c
index e58e24a646..96a332ecfe 100644
--- a/src/backend/main/main.c
+++ b/src/backend/main/main.c
@@ -324,6 +324,7 @@ help(const char *progname)
#endif
printf(_(" -N MAX-CONNECT maximum number of allowed connections\n"));
printf(_(" -p PORT port number to listen on\n"));
+ printf(_(" -R fd prompt for the cluster key\n"));
printf(_(" -s show statistics after each query\n"));
printf(_(" -S WORK-MEM set amount of memory for sorts (in kB)\n"));
printf(_(" -V, --version output version information, then exit\n"));
@@ -351,7 +352,9 @@ help(const char *progname)
printf(_("\nOptions for bootstrapping mode:\n"));
printf(_(" --boot selects bootstrapping mode (must be first argument)\n"));
printf(_(" DBNAME database name (mandatory argument in bootstrapping mode)\n"));
+ printf(_(" -K LEN enable cluster file encryption with specified key bit length\n"));
printf(_(" -r FILENAME send stdout and stderr to given file\n"));
+ printf(_(" -u DATADIR copy encryption keys from datadir\n"));
printf(_(" -x NUM internal use\n"));
printf(_("\nPlease read the documentation for the complete list of run-time\n"
diff --git a/src/backend/postmaster/postmaster.c b/src/backend/postmaster/postmaster.c
index 4a3ca78c1b..11dd3eadff 100644
--- a/src/backend/postmaster/postmaster.c
+++ b/src/backend/postmaster/postmaster.c
@@ -231,6 +231,7 @@ static int SendStop = false;
/* still more option variables */
bool EnableSSL = false;
+int terminal_fd = -1;
int PreAuthDelay = 0;
int AuthenticationTimeout = 60;
@@ -694,7 +695,7 @@ PostmasterMain(int argc, char *argv[])
* tcop/postgres.c (the option sets should not conflict) and with the
* common help() function in main/main.c.
*/
- while ((opt = getopt(argc, argv, "B:bc:C:D:d:EeFf:h:ijk:lN:nOPp:r:S:sTt:W:-:")) != -1)
+ while ((opt = getopt(argc, argv, "B:bc:C:D:d:EeFf:h:ijk:lN:nOPp:r:R:S:sTt:W:-:")) != -1)
{
switch (opt)
{
@@ -785,6 +786,10 @@ PostmasterMain(int argc, char *argv[])
/* only used by single-user backend */
break;
+ case 'R':
+ terminal_fd = atoi(optarg);
+ break;
+
case 'S':
SetConfigOption("work_mem", optarg, PGC_POSTMASTER, PGC_S_ARGV);
break;
@@ -1333,6 +1338,11 @@ PostmasterMain(int argc, char *argv[])
*/
RemovePgTempFiles();
+ InitializeKmgr();
+
+ if (terminal_fd != -1)
+ close(terminal_fd);
+
/*
* Initialize stats collection subsystem (this does NOT start the
* collector process!)
diff --git a/src/backend/replication/basebackup.c b/src/backend/replication/basebackup.c
index 56cd473f9f..5864420ec3 100644
--- a/src/backend/replication/basebackup.c
+++ b/src/backend/replication/basebackup.c
@@ -18,6 +18,7 @@
#include "access/xlog_internal.h" /* for pg_start/stop_backup */
#include "catalog/pg_type.h"
+#include "common/kmgr_utils.h"
#include "common/file_perm.h"
#include "commands/progress.h"
#include "lib/stringinfo.h"
@@ -152,6 +153,10 @@ struct exclude_list_item
*/
static const char *const excludeDirContents[] =
{
+ /* Skip temporary crypto key directories */
+ NEW_KMGR_DIR,
+ OLD_KMGR_DIR,
+
/*
* Skip temporary statistics files. PG_STAT_TMP_DIR must be skipped even
* when stats_temp_directory is set because PGSS_TEXT_FILE is always
diff --git a/src/backend/storage/ipc/ipci.c b/src/backend/storage/ipc/ipci.c
index 3e4ec53a97..b90c5fcd0c 100644
--- a/src/backend/storage/ipc/ipci.c
+++ b/src/backend/storage/ipc/ipci.c
@@ -23,6 +23,7 @@
#include "access/syncscan.h"
#include "access/twophase.h"
#include "commands/async.h"
+#include "crypto/kmgr.h"
#include "miscadmin.h"
#include "pgstat.h"
#include "postmaster/autovacuum.h"
@@ -150,6 +151,7 @@ CreateSharedMemoryAndSemaphores(void)
size = add_size(size, BTreeShmemSize());
size = add_size(size, SyncScanShmemSize());
size = add_size(size, AsyncShmemSize());
+ size = add_size(size, KmgrShmemSize());
#ifdef EXEC_BACKEND
size = add_size(size, ShmemBackendArraySize());
#endif
@@ -269,6 +271,7 @@ CreateSharedMemoryAndSemaphores(void)
BTreeShmemInit();
SyncScanShmemInit();
AsyncShmemInit();
+ KmgrShmemInit();
#ifdef EXEC_BACKEND
diff --git a/src/backend/storage/lmgr/lwlocknames.txt b/src/backend/storage/lmgr/lwlocknames.txt
index 6c7cf6c295..56ac32407f 100644
--- a/src/backend/storage/lmgr/lwlocknames.txt
+++ b/src/backend/storage/lmgr/lwlocknames.txt
@@ -53,3 +53,4 @@ XactTruncationLock 44
# 45 was XactTruncationLock until removal of BackendRandomLock
WrapLimitsVacuumLock 46
NotifyQueueTailLock 47
+KmgrFileLock 48
diff --git a/src/backend/tcop/postgres.c b/src/backend/tcop/postgres.c
index 330ec5b028..d36ac60da3 100644
--- a/src/backend/tcop/postgres.c
+++ b/src/backend/tcop/postgres.c
@@ -3675,7 +3675,7 @@ process_postgres_switches(int argc, char *argv[], GucContext ctx,
* postmaster/postmaster.c (the option sets should not conflict) and with
* the common help() function in main/main.c.
*/
- while ((flag = getopt(argc, argv, "B:bc:C:D:d:EeFf:h:ijk:lN:nOPp:r:S:sTt:v:W:-:")) != -1)
+ while ((flag = getopt(argc, argv, "B:bc:C:D:d:EeFf:h:ijk:lN:nOPp:r:R:S:sTt:v:W:-:")) != -1)
{
switch (flag)
{
@@ -3767,6 +3767,19 @@ process_postgres_switches(int argc, char *argv[], GucContext ctx,
strlcpy(OutputFileName, optarg, MAXPGPATH);
break;
+ case 'R':
+ terminal_fd = atoi(optarg);
+ if (terminal_fd == -1)
+ {
+ /*
+ * Allow file descriptor closing to be bypassed via -1.
+ * We just duplicate sterr. This is useful for
+ * single-user mode.
+ */
+ terminal_fd = dup(2);
+ }
+ break;
+
case 'S':
SetConfigOption("work_mem", optarg, ctx, gucsource);
break;
@@ -4019,6 +4032,18 @@ PostgresMain(int argc, char *argv[],
/* Early initialization */
BaseInit();
+ /*
+ * Initialize kmgr for cluster encryption. Since kmgr needs to attach to
+ * shared memory the initialization must be called after BaseInit().
+ */
+ if (!IsUnderPostmaster)
+ {
+ InitializeKmgr();
+
+ if (terminal_fd != -1)
+ close(terminal_fd);
+ }
+
/*
* Create a per-backend PGPROC struct in shared memory, except in the
* EXEC_BACKEND case where this was done in SubPostmasterMain. We must do
diff --git a/src/backend/utils/activity/wait_event.c b/src/backend/utils/activity/wait_event.c
index accc1eb577..4ff89f9b3f 100644
--- a/src/backend/utils/activity/wait_event.c
+++ b/src/backend/utils/activity/wait_event.c
@@ -561,6 +561,15 @@ pgstat_get_wait_io(WaitEventIO w)
case WAIT_EVENT_DSM_FILL_ZERO_WRITE:
event_name = "DSMFillZeroWrite";
break;
+ case WAIT_EVENT_KEY_FILE_READ:
+ event_name = "KeyFileRead";
+ break;
+ case WAIT_EVENT_KEY_FILE_WRITE:
+ event_name = "KeyFileWrite";
+ break;
+ case WAIT_EVENT_KEY_FILE_SYNC:
+ event_name = "KeyFileSync";
+ break;
case WAIT_EVENT_LOCK_FILE_ADDTODATADIR_READ:
event_name = "LockFileAddToDataDirRead";
break;
diff --git a/src/backend/utils/misc/guc.c b/src/backend/utils/misc/guc.c
index c9c9da85f3..c429361bf9 100644
--- a/src/backend/utils/misc/guc.c
+++ b/src/backend/utils/misc/guc.c
@@ -51,6 +51,7 @@
#include "commands/vacuum.h"
#include "commands/variable.h"
#include "common/string.h"
+#include "crypto/kmgr.h"
#include "funcapi.h"
#include "jit/jit.h"
#include "libpq/auth.h"
@@ -640,6 +641,7 @@ static char *recovery_target_string;
static char *recovery_target_xid_string;
static char *recovery_target_name_string;
static char *recovery_target_lsn_string;
+static char *file_encryption_method_str;
/* should be static, but commands/variable.c needs to get at this */
@@ -770,6 +772,8 @@ const char *const config_group_names[] =
gettext_noop("Statistics / Monitoring"),
/* STATS_COLLECTOR */
gettext_noop("Statistics / Query and Index Statistics Collector"),
+ /* ENCRYPTION */
+ gettext_noop("Encryption"),
/* AUTOVACUUM */
gettext_noop("Autovacuum"),
/* CLIENT_CONN */
@@ -4511,6 +4515,27 @@ static struct config_string ConfigureNamesString[] =
NULL, NULL, NULL
},
+ {
+ {"cluster_key_command", PGC_SIGHUP, ENCRYPTION,
+ gettext_noop("Command to obtain cluster key for cluster file encryption."),
+ NULL
+ },
+ &cluster_key_command,
+ "",
+ NULL, NULL, NULL
+ },
+
+ {
+ {"file_encryption_method", PGC_INTERNAL, PRESET_OPTIONS,
+ gettext_noop("Shows the cluster file encryption method."),
+ NULL,
+ GUC_NOT_IN_SAMPLE | GUC_DISALLOW_IN_FILE
+ },
+ &file_encryption_method_str,
+ "",
+ NULL, NULL, NULL
+ },
+
{
{"application_name", PGC_USERSET, LOGGING_WHAT,
gettext_noop("Sets the application name to be reported in statistics and logs."),
diff --git a/src/backend/utils/misc/pg_controldata.c b/src/backend/utils/misc/pg_controldata.c
index 209a20a882..63f064462a 100644
--- a/src/backend/utils/misc/pg_controldata.c
+++ b/src/backend/utils/misc/pg_controldata.c
@@ -263,8 +263,8 @@ pg_control_recovery(PG_FUNCTION_ARGS)
Datum
pg_control_init(PG_FUNCTION_ARGS)
{
- Datum values[11];
- bool nulls[11];
+ Datum values[12];
+ bool nulls[12];
TupleDesc tupdesc;
HeapTuple htup;
ControlFileData *ControlFile;
@@ -274,7 +274,7 @@ pg_control_init(PG_FUNCTION_ARGS)
* Construct a tuple descriptor for the result row. This must match this
* function's pg_proc entry!
*/
- tupdesc = CreateTemplateTupleDesc(11);
+ tupdesc = CreateTemplateTupleDesc(12);
TupleDescInitEntry(tupdesc, (AttrNumber) 1, "max_data_alignment",
INT4OID, -1, 0);
TupleDescInitEntry(tupdesc, (AttrNumber) 2, "database_block_size",
@@ -297,6 +297,8 @@ pg_control_init(PG_FUNCTION_ARGS)
BOOLOID, -1, 0);
TupleDescInitEntry(tupdesc, (AttrNumber) 11, "data_page_checksum_version",
INT4OID, -1, 0);
+ TupleDescInitEntry(tupdesc, (AttrNumber) 12, "file_encryption_method",
+ INT4OID, -1, 0);
tupdesc = BlessTupleDesc(tupdesc);
/* read the control file */
@@ -338,6 +340,9 @@ pg_control_init(PG_FUNCTION_ARGS)
values[10] = Int32GetDatum(ControlFile->data_checksum_version);
nulls[10] = false;
+ values[11] = Int32GetDatum(ControlFile->file_encryption_method);
+ nulls[11] = false;
+
htup = heap_form_tuple(tupdesc, values, nulls);
PG_RETURN_DATUM(HeapTupleGetDatum(htup));
diff --git a/src/backend/utils/misc/postgresql.conf.sample b/src/backend/utils/misc/postgresql.conf.sample
index 39da7cc942..8c26994911 100644
--- a/src/backend/utils/misc/postgresql.conf.sample
+++ b/src/backend/utils/misc/postgresql.conf.sample
@@ -638,6 +638,11 @@
# autovacuum, -1 means use
# vacuum_cost_limit
+#------------------------------------------------------------------------------
+# ENCRYPTION
+#------------------------------------------------------------------------------
+
+#cluster_key_command = ''
#------------------------------------------------------------------------------
# CLIENT CONNECTION DEFAULTS
diff --git a/src/include/access/xlog.h b/src/include/access/xlog.h
index 77187c12be..ab66a660a5 100644
--- a/src/include/access/xlog.h
+++ b/src/include/access/xlog.h
@@ -15,6 +15,7 @@
#include "access/xlogdefs.h"
#include "access/xloginsert.h"
#include "access/xlogreader.h"
+#include "common/kmgr_utils.h"
#include "datatype/timestamp.h"
#include "lib/stringinfo.h"
#include "nodes/pg_list.h"
@@ -328,6 +329,10 @@ extern void UpdateControlFile(void);
extern uint64 GetSystemIdentifier(void);
extern char *GetMockAuthenticationNonce(void);
extern bool DataChecksumsEnabled(void);
+
+#define FileEncryptionEnabled (GetFileEncryptionMethod() != DISABLED_ENCRYPTION_METHOD)
+extern int GetFileEncryptionMethod(void);
+
extern XLogRecPtr GetFakeLSNForUnloggedRel(void);
extern Size XLOGShmemSize(void);
extern void XLOGShmemInit(void);
diff --git a/src/include/catalog/pg_control.h b/src/include/catalog/pg_control.h
index e3f48158ce..6216d1faf5 100644
--- a/src/include/catalog/pg_control.h
+++ b/src/include/catalog/pg_control.h
@@ -22,7 +22,7 @@
/* Version identifier for this pg_control format */
-#define PG_CONTROL_VERSION 1300
+#define PG_CONTROL_VERSION 1400
/* Nonce key length, see below */
#define MOCK_AUTH_NONCE_LEN 32
@@ -226,6 +226,9 @@ typedef struct ControlFileData
*/
char mock_authentication_nonce[MOCK_AUTH_NONCE_LEN];
+ /* File encryption method; index into encryption_methods[]. */
+ int file_encryption_method;
+
/* CRC of all above ... MUST BE LAST! */
pg_crc32c crc;
} ControlFileData;
diff --git a/src/include/postmaster/postmaster.h b/src/include/postmaster/postmaster.h
index 0efdd7c232..9f88240ed6 100644
--- a/src/include/postmaster/postmaster.h
+++ b/src/include/postmaster/postmaster.h
@@ -31,6 +31,8 @@ extern char *bonjour_name;
extern bool restart_after_crash;
extern bool remove_temp_files_after_crash;
+extern int terminal_fd;
+
#ifdef WIN32
extern HANDLE PostmasterHandle;
#else
diff --git a/src/include/utils/guc_tables.h b/src/include/utils/guc_tables.h
index b9b5c1adda..c0fadeb1c1 100644
--- a/src/include/utils/guc_tables.h
+++ b/src/include/utils/guc_tables.h
@@ -89,6 +89,7 @@ enum config_group
STATS,
STATS_MONITORING,
STATS_COLLECTOR,
+ ENCRYPTION,
AUTOVACUUM,
CLIENT_CONN,
CLIENT_CONN_STATEMENT,
--
2.20.1
cfe-07-bin_over_cfe-06-backend.difftext/x-diff; charset=us-asciiDownload
From 15ea2196d7d9457e0cefe626c410fe88a835bbba Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:41 -0400
Subject: [PATCH] cfe-07-bin_over_cfe-06-backend squash commit
---
doc/src/sgml/ref/initdb.sgml | 47 +++++++++
doc/src/sgml/ref/pg_ctl-ref.sgml | 14 +++
doc/src/sgml/ref/pgupgrade.sgml | 20 +++-
doc/src/sgml/ref/postgres-ref.sgml | 13 +++
src/bin/initdb/initdb.c | 126 ++++++++++++++++++++++--
src/bin/pg_controldata/pg_controldata.c | 3 +
src/bin/pg_ctl/pg_ctl.c | 59 +++++++++--
src/bin/pg_resetwal/pg_resetwal.c | 3 +
src/bin/pg_rewind/filemap.c | 8 ++
src/bin/pg_upgrade/check.c | 34 +++++++
src/bin/pg_upgrade/controldata.c | 41 +++++++-
src/bin/pg_upgrade/file.c | 2 +
src/bin/pg_upgrade/option.c | 7 +-
src/bin/pg_upgrade/pg_upgrade.h | 3 +
src/bin/pg_upgrade/server.c | 5 +-
15 files changed, 362 insertions(+), 23 deletions(-)
diff --git a/doc/src/sgml/ref/initdb.sgml b/doc/src/sgml/ref/initdb.sgml
index afd344b4c0..236d213f14 100644
--- a/doc/src/sgml/ref/initdb.sgml
+++ b/doc/src/sgml/ref/initdb.sgml
@@ -163,6 +163,18 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry id="app-initdb-cluster-key-command" xreflabel="cluster key command">
+ <term><option>-c <replaceable class="parameter">command</replaceable></option></term>
+ <term><option>--cluster-key-command=<replaceable class="parameter">command</replaceable></option></term>
+ <listitem>
+ <para>
+ This option specifies an external command to obtain the cluster-level
+ key for cluster file encryption during server initialization and
+ server start; see <xref linkend="guc-cluster-key-command"/> for details.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-D <replaceable class="parameter">directory</replaceable></option></term>
<term><option>--pgdata=<replaceable class="parameter">directory</replaceable></option></term>
@@ -224,6 +236,18 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry id="app-initdb-file-encryption-method"
+ xreflabel="file encryption">
+ <term><option>-K <replaceable class="parameter">encryption_method</replaceable></option></term>
+ <term><option>--file-encryption-method=<replaceable class="parameter">encryption_method</replaceable></option></term>
+ <listitem>
+ <para>
+ Specifies the cluster file encryption method. The
+ value values are <literal>AES128</literal> (the default), <literal>AES192</literal>, and <literal>AES256</literal>.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>--locale=<replaceable>locale</replaceable></option></term>
<listitem>
@@ -299,6 +323,17 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry>
+ <term><option>-R</option></term>
+ <term><option>--authprompt</option></term>
+ <listitem>
+ <para>
+ Allows the <option>--cluster-key-command</option> command
+ to prompt for a passphrase or PIN.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-S</option></term>
<term><option>--sync-only</option></term>
@@ -321,6 +356,18 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry>
+ <term><option>-u <replaceable>datadir</replaceable></option></term>
+ <term><option>--copy-encryption-keys=<replaceable>datadir</replaceable></option></term>
+ <listitem>
+ <para>
+ Copies cluster file encryption keys from another cluster; required
+ when using <application>pg_upgrade</application> on a cluster
+ with cluster file encryption enabled.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-U <replaceable class="parameter">username</replaceable></option></term>
<term><option>--username=<replaceable class="parameter">username</replaceable></option></term>
diff --git a/doc/src/sgml/ref/pg_ctl-ref.sgml b/doc/src/sgml/ref/pg_ctl-ref.sgml
index 3946fa52ea..0662ae051a 100644
--- a/doc/src/sgml/ref/pg_ctl-ref.sgml
+++ b/doc/src/sgml/ref/pg_ctl-ref.sgml
@@ -38,6 +38,7 @@ PostgreSQL documentation
<arg choice="opt"><option>-s</option></arg>
<arg choice="opt"><option>-o</option> <replaceable>options</replaceable></arg>
<arg choice="opt"><option>-p</option> <replaceable>path</replaceable></arg>
+ <arg choice="opt"><option>-R</option></arg>
<arg choice="opt"><option>-c</option></arg>
</cmdsynopsis>
@@ -72,6 +73,7 @@ PostgreSQL documentation
<arg choice="opt"><option>-t</option> <replaceable>seconds</replaceable></arg>
<arg choice="opt"><option>-s</option></arg>
<arg choice="opt"><option>-o</option> <replaceable>options</replaceable></arg>
+ <arg choice="opt"><option>-R</option></arg>
<arg choice="opt"><option>-c</option></arg>
</cmdsynopsis>
@@ -373,6 +375,18 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry>
+ <term><option>-R</option></term>
+ <term><option>--authprompt</option></term>
+ <listitem>
+ <para>
+ Allows <option>ssl_passphrase_command</option> or
+ <option>cluster_key_command</option> to prompt for a passphrase
+ or PIN.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-s</option></term>
<term><option>--silent</option></term>
diff --git a/doc/src/sgml/ref/pgupgrade.sgml b/doc/src/sgml/ref/pgupgrade.sgml
index 92e1d09a55..9b49e8da59 100644
--- a/doc/src/sgml/ref/pgupgrade.sgml
+++ b/doc/src/sgml/ref/pgupgrade.sgml
@@ -167,6 +167,15 @@ PostgreSQL documentation
</para></listitem>
</varlistentry>
+ <varlistentry>
+ <term><option>-R</option></term>
+ <term><option>--authprompt</option></term>
+ <listitem><para>allows <option>ssl_passphrase_command</option> or
+ <option>cluster_key_command</option> to prompt for a passphrase
+ or PIN.
+ </para></listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-s</option> <replaceable>dir</replaceable></term>
<term><option>--socketdir=</option><replaceable>dir</replaceable></term>
@@ -309,7 +318,9 @@ make prefix=/usr/local/pgsql.new install
Again, use compatible <command>initdb</command>
flags that match the old cluster. Many
prebuilt installers do this step automatically. There is no need to
- start the new cluster.
+ start the new cluster. If upgrading a cluster that uses
+ cluster file encryption, the <command>initdb</command> option
+ <option>--copy-encryption-keys</option> must be specified.
</para>
</step>
@@ -838,6 +849,13 @@ psql --username=postgres --file=script.sql postgres
is down.
</para>
+ <para>
+ If the old cluster uses file encryption, the new cluster must use
+ the same keys, so <command>pg_upgrade</command> copies them to the
+ new cluster. It is necessary to initialize the new cluster with
+ the same <varname>cluster_key_command</varname> and the same
+ file encryption method.
+ </para>
</refsect1>
<refsect1>
diff --git a/doc/src/sgml/ref/postgres-ref.sgml b/doc/src/sgml/ref/postgres-ref.sgml
index 4aaa7abe1a..805da81e07 100644
--- a/doc/src/sgml/ref/postgres-ref.sgml
+++ b/doc/src/sgml/ref/postgres-ref.sgml
@@ -297,6 +297,19 @@ PostgreSQL documentation
</listitem>
</varlistentry>
+ <varlistentry>
+ <term><option>-R <replaceable class="parameter">file-descriptor</replaceable></option></term>
+ <listitem>
+ <para>
+ Makes <command>postgres</command> prompt for a passphrase or PIN
+ from the specified open numeric file descriptor. The descriptor
+ is closed after the key is read. The file descriptor number
+ <literal>-1</literal> duplicates standard error for the terminal;
+ this is useful for single-user mode.
+ </para>
+ </listitem>
+ </varlistentry>
+
<varlistentry>
<term><option>-s</option></term>
<listitem>
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 4500df6fc8..cb8a843f2b 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -65,6 +65,7 @@
#include "catalog/pg_collation_d.h"
#include "common/file_perm.h"
#include "common/file_utils.h"
+#include "common/kmgr_utils.h"
#include "common/logging.h"
#include "common/restricted_token.h"
#include "common/string.h"
@@ -142,11 +143,16 @@ static bool noclean = false;
static bool noinstructions = false;
static bool do_sync = true;
static bool sync_only = false;
+static bool pass_terminal_fd = false;
+static char *term_fd_opt = NULL;
+static int file_encryption_method = DISABLED_ENCRYPTION_METHOD;
static bool show_setting = false;
static bool data_checksums = false;
static char *xlog_dir = NULL;
static char *str_wal_segment_size_mb = NULL;
static int wal_segment_size_mb;
+static char *cluster_key_cmd = NULL;
+static char *old_key_datadir = NULL;
/* internal vars */
@@ -205,6 +211,7 @@ static const char *const subdirs[] = {
"global",
"pg_wal/archive_status",
"pg_commit_ts",
+ "pg_cryptokeys",
"pg_dynshmem",
"pg_notify",
"pg_serial",
@@ -961,12 +968,13 @@ test_config_settings(void)
test_buffs = MIN_BUFS_FOR_CONNS(test_conns);
snprintf(cmd, sizeof(cmd),
- "\"%s\" --boot -x0 %s "
+ "\"%s\" --boot -x0 %s %s "
"-c max_connections=%d "
"-c shared_buffers=%d "
"-c dynamic_shared_memory_type=%s "
"< \"%s\" > \"%s\" 2>&1",
backend_exec, boot_options,
+ term_fd_opt ? term_fd_opt : "",
test_conns, test_buffs,
dynamic_shared_memory_type,
DEVNULL, DEVNULL);
@@ -997,12 +1005,13 @@ test_config_settings(void)
}
snprintf(cmd, sizeof(cmd),
- "\"%s\" --boot -x0 %s "
+ "\"%s\" --boot -x0 %s %s "
"-c max_connections=%d "
"-c shared_buffers=%d "
"-c dynamic_shared_memory_type=%s "
"< \"%s\" > \"%s\" 2>&1",
backend_exec, boot_options,
+ term_fd_opt ? term_fd_opt : "",
n_connections, test_buffs,
dynamic_shared_memory_type,
DEVNULL, DEVNULL);
@@ -1192,6 +1201,13 @@ setup_config(void)
"password_encryption = md5");
}
+ if (cluster_key_cmd)
+ {
+ snprintf(repltok, sizeof(repltok), "cluster_key_command = '%s'",
+ escape_quotes(cluster_key_cmd));
+ conflines = replace_token(conflines, "#cluster_key_command = ''", repltok);
+ }
+
/*
* If group access has been enabled for the cluster then it makes sense to
* ensure that the log files also allow group access. Otherwise a backup
@@ -1402,12 +1418,17 @@ bootstrap_template1(void)
unsetenv("PGCLIENTENCODING");
snprintf(cmd, sizeof(cmd),
- "\"%s\" --boot -x1 -X %u %s %s %s",
+ "\"%s\" --boot -x1 -X %u %s %s %s %s %s %s %s %s",
backend_exec,
wal_segment_size_mb * (1024 * 1024),
data_checksums ? "-k" : "",
+ cluster_key_cmd ? "-K" : "",
+ cluster_key_cmd ? encryption_methods[file_encryption_method].name : "",
+ old_key_datadir ? "-u" : "",
+ old_key_datadir ? old_key_datadir : "",
boot_options,
- debug ? "-d 5" : "");
+ debug ? "-d 5" : "",
+ term_fd_opt ? term_fd_opt : "");
PG_CMD_OPEN;
@@ -2254,21 +2275,29 @@ usage(const char *progname)
" set default locale in the respective category for\n"
" new databases (default taken from environment)\n"));
printf(_(" --no-locale equivalent to --locale=C\n"));
- printf(_(" --pwfile=FILE read password for the new superuser from file\n"));
+ printf(_(" --pwfile=FILE read the new superuser password from file\n"));
printf(_(" -T, --text-search-config=CFG\n"
" default text search configuration\n"));
printf(_(" -U, --username=NAME database superuser name\n"));
- printf(_(" -W, --pwprompt prompt for a password for the new superuser\n"));
+ printf(_(" -W, --pwprompt prompt for the new superuser password\n"));
printf(_(" -X, --waldir=WALDIR location for the write-ahead log directory\n"));
printf(_(" --wal-segsize=SIZE size of WAL segments, in megabytes\n"));
printf(_("\nLess commonly used options:\n"));
+ printf(_(" -c, --cluster-key-command=COMMAND\n"
+ " enable cluster file encryption and set command\n"
+ " to obtain the cluster key\n"));
printf(_(" -d, --debug generate lots of debugging output\n"));
+ printf(_(" -K, --file-encryption-method=METHOD\n"
+ " cluster file encryption method\n"));
printf(_(" -L DIRECTORY where to find the input files\n"));
printf(_(" -n, --no-clean do not clean up after errors\n"));
printf(_(" -N, --no-sync do not wait for changes to be written safely to disk\n"));
+ printf(_(" -R, --authprompt prompt for a passphrase or PIN\n"));
printf(_(" --no-instructions do not print instructions for next steps\n"));
printf(_(" -s, --show show internal settings\n"));
printf(_(" -S, --sync-only only sync data directory\n"));
+ printf(_(" -u, --copy-encryption-keys=DATADIR\n"
+ " copy the file encryption key from another cluster\n"));
printf(_("\nOther options:\n"));
printf(_(" -V, --version output version information, then exit\n"));
printf(_(" -?, --help show this help, then exit\n"));
@@ -2836,6 +2865,23 @@ initialize_data_directory(void)
/* Top level PG_VERSION is checked by bootstrapper, so make it first */
write_version_file(NULL);
+ if (pass_terminal_fd)
+ {
+#ifndef WIN32
+ int terminal_fd = open("/dev/tty", O_RDWR, 0);
+#else
+ int terminal_fd = open("CONOUT$", O_RDWR, 0);
+#endif
+
+ if (terminal_fd < 0)
+ {
+ pg_log_error(_("%s: could not open terminal: %s\n"),
+ progname, strerror(errno));
+ exit(1);
+ }
+ term_fd_opt = psprintf("-R %d", terminal_fd);
+ }
+
/* Select suitable configuration settings */
set_null_conf();
test_config_settings();
@@ -2859,8 +2905,9 @@ initialize_data_directory(void)
fflush(stdout);
snprintf(cmd, sizeof(cmd),
- "\"%s\" %s template1 >%s",
+ "\"%s\" %s %s template1 >%s",
backend_exec, backend_options,
+ term_fd_opt ? term_fd_opt : "",
DEVNULL);
PG_CMD_OPEN;
@@ -2936,7 +2983,11 @@ main(int argc, char *argv[])
{"waldir", required_argument, NULL, 'X'},
{"wal-segsize", required_argument, NULL, 12},
{"data-checksums", no_argument, NULL, 'k'},
+ {"authprompt", no_argument, NULL, 'R'},
+ {"file-encryption-method", required_argument, NULL, 'K'},
{"allow-group-access", no_argument, NULL, 'g'},
+ {"cluster-key-command", required_argument, NULL, 'c'},
+ {"copy-encryption-keys", required_argument, NULL, 'u'},
{NULL, 0, NULL, 0}
};
@@ -2978,7 +3029,7 @@ main(int argc, char *argv[])
/* process command-line options */
- while ((c = getopt_long(argc, argv, "A:dD:E:gkL:nNsST:U:WX:", long_options, &option_index)) != -1)
+ while ((c = getopt_long(argc, argv, "A:c:dD:E:gkK:L:nNRsST:u:U:WX:", long_options, &option_index)) != -1)
{
switch (c)
{
@@ -3024,6 +3075,28 @@ main(int argc, char *argv[])
case 'N':
do_sync = false;
break;
+ case 'R':
+ pass_terminal_fd = true;
+ break;
+ case 'K':
+ {
+ int i;
+
+ /* method 0/disabled cannot be specified */
+ for (i = DISABLED_ENCRYPTION_METHOD + 1;
+ i < NUM_ENCRYPTION_METHODS; i++)
+ if (pg_strcasecmp(optarg, encryption_methods[i].name) == 0)
+ {
+ file_encryption_method = i;
+ break;
+ }
+ if (i == NUM_ENCRYPTION_METHODS)
+ {
+ fprintf(stderr, _("invalid cluster encryption method\n"));
+ exit(1);
+ }
+ }
+ break;
case 'S':
sync_only = true;
break;
@@ -3060,6 +3133,12 @@ main(int argc, char *argv[])
case 9:
pwfilename = pg_strdup(optarg);
break;
+ case 'c':
+ cluster_key_cmd = pg_strdup(optarg);
+ break;
+ case 'u':
+ old_key_datadir = pg_strdup(optarg);
+ break;
case 's':
show_setting = true;
break;
@@ -3133,6 +3212,32 @@ main(int argc, char *argv[])
exit(1);
}
+#ifndef USE_OPENSSL
+ if (cluster_key_cmd)
+ {
+ pg_log_error("cluster file encryption is not supported because OpenSSL is not supported by this build");
+ exit(1);
+ }
+#endif
+
+ if (old_key_datadir != NULL && cluster_key_cmd == NULL)
+ {
+ pg_log_error("copying encryption keys requires the cluster key command to be specified");
+ exit(1);
+ }
+
+ if (file_encryption_method != DISABLED_ENCRYPTION_METHOD &&
+ cluster_key_cmd == NULL)
+ {
+ pg_log_error("a file encryption method requires the cluster key command to be specified");
+ exit(1);
+ }
+
+ /* set the default */
+ if (file_encryption_method == DISABLED_ENCRYPTION_METHOD &&
+ cluster_key_cmd != NULL)
+ file_encryption_method = DEFAULT_ENABLED_ENCRYPTION_METHOD;
+
check_authmethod_unspecified(&authmethodlocal);
check_authmethod_unspecified(&authmethodhost);
@@ -3200,6 +3305,11 @@ main(int argc, char *argv[])
else
printf(_("Data page checksums are disabled.\n"));
+ if (cluster_key_cmd)
+ printf(_("Cluster file encryption is enabled.\n"));
+ else
+ printf(_("Cluster file encryption is disabled.\n"));
+
if (pwprompt || pwfilename)
get_su_pwd();
diff --git a/src/bin/pg_controldata/pg_controldata.c b/src/bin/pg_controldata/pg_controldata.c
index f911f98d94..e95eaae5e5 100644
--- a/src/bin/pg_controldata/pg_controldata.c
+++ b/src/bin/pg_controldata/pg_controldata.c
@@ -25,6 +25,7 @@
#include "access/xlog_internal.h"
#include "catalog/pg_control.h"
#include "common/controldata_utils.h"
+#include "common/kmgr_utils.h"
#include "common/logging.h"
#include "getopt_long.h"
#include "pg_getopt.h"
@@ -328,5 +329,7 @@ main(int argc, char *argv[])
ControlFile->data_checksum_version);
printf(_("Mock authentication nonce: %s\n"),
mock_auth_nonce_str);
+ printf(_("File encryption method: %s\n"),
+ encryption_methods[ControlFile->file_encryption_method].name);
return 0;
}
diff --git a/src/bin/pg_ctl/pg_ctl.c b/src/bin/pg_ctl/pg_ctl.c
index 7985da0a94..8fd60cc78c 100644
--- a/src/bin/pg_ctl/pg_ctl.c
+++ b/src/bin/pg_ctl/pg_ctl.c
@@ -79,6 +79,7 @@ typedef enum
static bool do_wait = true;
static int wait_seconds = DEFAULT_WAIT;
static bool wait_seconds_arg = false;
+static bool pass_terminal_fd = false;
static bool silent_mode = false;
static ShutdownMode shutdown_mode = FAST_MODE;
static int sig = SIGINT; /* default */
@@ -442,7 +443,7 @@ free_readfile(char **optlines)
static pgpid_t
start_postmaster(void)
{
- char cmd[MAXPGPATH];
+ char cmd[MAXPGPATH], *term_fd_opt = NULL;
#ifndef WIN32
pgpid_t pm_pid;
@@ -467,6 +468,19 @@ start_postmaster(void)
/* fork succeeded, in child */
+ if (pass_terminal_fd)
+ {
+ int terminal_fd = open("/dev/tty", O_RDWR, 0);
+
+ if (terminal_fd < 0)
+ {
+ write_stderr(_("%s: could not open terminal: %s\n"),
+ progname, strerror(errno));
+ exit(1);
+ }
+ term_fd_opt = psprintf(" -R %d", terminal_fd);
+ }
+
/*
* If possible, detach the postmaster process from the launching process
* group and make it a group leader, so that it doesn't get signaled along
@@ -487,12 +501,14 @@ start_postmaster(void)
* has the same PID as the current child process.
*/
if (log_file != NULL)
- snprintf(cmd, MAXPGPATH, "exec \"%s\" %s%s < \"%s\" >> \"%s\" 2>&1",
+ snprintf(cmd, MAXPGPATH, "exec \"%s\" %s%s%s < \"%s\" >> \"%s\" 2>&1",
exec_path, pgdata_opt, post_opts,
+ term_fd_opt ? term_fd_opt : "",
DEVNULL, log_file);
else
- snprintf(cmd, MAXPGPATH, "exec \"%s\" %s%s < \"%s\" 2>&1",
- exec_path, pgdata_opt, post_opts, DEVNULL);
+ snprintf(cmd, MAXPGPATH, "exec \"%s\" %s%s%s < \"%s\" 2>&1",
+ exec_path, pgdata_opt, post_opts,
+ term_fd_opt ? term_fd_opt : "", DEVNULL);
(void) execl("/bin/sh", "/bin/sh", "-c", cmd, (char *) NULL);
@@ -513,6 +529,21 @@ start_postmaster(void)
PROCESS_INFORMATION pi;
const char *comspec;
+ if (pass_terminal_fd)
+ {
+ /* Hopefully we can read and write CONOUT, see simple_prompt() XXX */
+ /* Do CreateRestrictedProcess() children even inherit open file descriptors? XXX */
+ int terminal_fd = open("CONOUT$", O_RDWR, 0);
+
+ if (terminal_fd < 0)
+ {
+ write_stderr(_("%s: could not open terminal: %s\n"),
+ progname, strerror(errno));
+ exit(1);
+ }
+ term_fd_opt = psprintf(" -R %d", terminal_fd);
+ }
+
/* Find CMD.EXE location using COMSPEC, if it's set */
comspec = getenv("COMSPEC");
if (comspec == NULL)
@@ -553,12 +584,14 @@ start_postmaster(void)
else
close(fd);
- snprintf(cmd, MAXPGPATH, "\"%s\" /C \"\"%s\" %s%s < \"%s\" >> \"%s\" 2>&1\"",
- comspec, exec_path, pgdata_opt, post_opts, DEVNULL, log_file);
+ snprintf(cmd, MAXPGPATH, "\"%s\" /C \"\"%s\" %s%s%s < \"%s\" >> \"%s\" 2>&1\"",
+ comspec, exec_path, pgdata_opt, post_opts,
+ term_fd_opt ? term_fd_opt : "", DEVNULL, log_file);
}
else
- snprintf(cmd, MAXPGPATH, "\"%s\" /C \"\"%s\" %s%s < \"%s\" 2>&1\"",
- comspec, exec_path, pgdata_opt, post_opts, DEVNULL);
+ snprintf(cmd, MAXPGPATH, "\"%s\" /C \"\"%s\" %s%s%s < \"%s\" 2>&1\"",
+ comspec, exec_path, pgdata_opt, post_opts,
+ term_fd_opt ? term_fd_opt : "", DEVNULL);
if (!CreateRestrictedProcess(cmd, &pi, false))
{
@@ -689,7 +722,8 @@ wait_for_postmaster(pgpid_t pm_pid, bool do_checkpoint)
}
else
#endif
- print_msg(".");
+ if (!pass_terminal_fd)
+ print_msg(".");
}
pg_usleep(USEC_PER_SEC / WAITS_PER_SEC);
@@ -2065,6 +2099,7 @@ do_help(void)
printf(_(" -o, --options=OPTIONS command line options to pass to postgres\n"
" (PostgreSQL server executable) or initdb\n"));
printf(_(" -p PATH-TO-POSTGRES normally not necessary\n"));
+ printf(_(" -R, --authprompt prompt for a passphrase or PIN\n"));
printf(_("\nOptions for stop or restart:\n"));
printf(_(" -m, --mode=MODE MODE can be \"smart\", \"fast\", or \"immediate\"\n"));
@@ -2259,6 +2294,7 @@ main(int argc, char **argv)
{"mode", required_argument, NULL, 'm'},
{"pgdata", required_argument, NULL, 'D'},
{"options", required_argument, NULL, 'o'},
+ {"authprompt", no_argument, NULL, 'R'},
{"silent", no_argument, NULL, 's'},
{"timeout", required_argument, NULL, 't'},
{"core-files", no_argument, NULL, 'c'},
@@ -2331,7 +2367,7 @@ main(int argc, char **argv)
/* process command-line options */
while (optind < argc)
{
- while ((c = getopt_long(argc, argv, "cD:e:l:m:N:o:p:P:sS:t:U:wW",
+ while ((c = getopt_long(argc, argv, "cD:e:l:m:N:o:p:P:RsS:t:U:wW",
long_options, &option_index)) != -1)
{
switch (c)
@@ -2383,6 +2419,9 @@ main(int argc, char **argv)
case 'P':
register_password = pg_strdup(optarg);
break;
+ case 'R':
+ pass_terminal_fd = true;
+ break;
case 's':
silent_mode = true;
break;
diff --git a/src/bin/pg_resetwal/pg_resetwal.c b/src/bin/pg_resetwal/pg_resetwal.c
index 805dafef07..682c0e26c3 100644
--- a/src/bin/pg_resetwal/pg_resetwal.c
+++ b/src/bin/pg_resetwal/pg_resetwal.c
@@ -52,6 +52,7 @@
#include "common/controldata_utils.h"
#include "common/fe_memutils.h"
#include "common/file_perm.h"
+#include "common/kmgr_utils.h"
#include "common/logging.h"
#include "common/restricted_token.h"
#include "common/string.h"
@@ -804,6 +805,8 @@ PrintControlValues(bool guessed)
(ControlFile.float8ByVal ? _("by value") : _("by reference")));
printf(_("Data page checksum version: %u\n"),
ControlFile.data_checksum_version);
+ printf(_("File encryption method: %s\n"),
+ encryption_methods[ControlFile.file_encryption_method].name);
}
diff --git a/src/bin/pg_rewind/filemap.c b/src/bin/pg_rewind/filemap.c
index 2618b4c957..e52a914361 100644
--- a/src/bin/pg_rewind/filemap.c
+++ b/src/bin/pg_rewind/filemap.c
@@ -28,6 +28,7 @@
#include "catalog/pg_tablespace_d.h"
#include "common/hashfn.h"
+#include "common/kmgr_utils.h"
#include "common/string.h"
#include "datapagemap.h"
#include "filemap.h"
@@ -107,6 +108,13 @@ static const char *excludeDirContents[] =
/* Contents removed on startup, see AsyncShmemInit(). */
"pg_notify",
+ /*
+ * Skip cryptographic keys. It's generally not a good idea to copy the
+ * cryptographic keys from source database because these might use
+ * different cluster key.
+ */
+ KMGR_DIR,
+
/*
* Old contents are loaded for possible debugging but are not required for
* normal operation, see SerialInit().
diff --git a/src/bin/pg_upgrade/check.c b/src/bin/pg_upgrade/check.c
index d77183b8d1..b816fb952f 100644
--- a/src/bin/pg_upgrade/check.c
+++ b/src/bin/pg_upgrade/check.c
@@ -10,6 +10,7 @@
#include "postgres_fe.h"
#include "catalog/pg_authid_d.h"
+#include "common/kmgr_utils.h"
#include "fe_utils/string_utils.h"
#include "mb/pg_wchar.h"
#include "pg_upgrade.h"
@@ -27,6 +28,7 @@ static void check_for_tables_with_oids(ClusterInfo *cluster);
static void check_for_reg_data_type_usage(ClusterInfo *cluster);
static void check_for_jsonb_9_4_usage(ClusterInfo *cluster);
static void check_for_pg_role_prefix(ClusterInfo *cluster);
+static void check_for_cluster_key_failure(ClusterInfo *cluster);
static void check_for_new_tablespace_dir(ClusterInfo *new_cluster);
static void check_for_user_defined_encoding_conversions(ClusterInfo *cluster);
static char *get_canonical_locale_name(int category, const char *locale);
@@ -149,6 +151,9 @@ check_and_dump_old_cluster(bool live_check)
if (GET_MAJOR_VERSION(old_cluster.major_version) <= 905)
check_for_pg_role_prefix(&old_cluster);
+ if (GET_MAJOR_VERSION(old_cluster.major_version) >= 1400)
+ check_for_cluster_key_failure(&old_cluster);
+
if (GET_MAJOR_VERSION(old_cluster.major_version) == 904 &&
old_cluster.controldata.cat_ver < JSONB_FORMAT_CHANGE_CAT_VER)
check_for_jsonb_9_4_usage(&old_cluster);
@@ -183,6 +188,9 @@ check_new_cluster(void)
check_loadable_libraries();
+ if (GET_MAJOR_VERSION(old_cluster.major_version) >= 1400)
+ check_for_cluster_key_failure(&new_cluster);
+
switch (user_opts.transfer_mode)
{
case TRANSFER_MODE_CLONE:
@@ -1364,6 +1372,32 @@ check_for_user_defined_encoding_conversions(ClusterInfo *cluster)
}
+/*
+ * check_for_cluster_key_failure()
+ *
+ * Make sure there was no unrepaired pg_alterckey failure
+ */
+static void
+check_for_cluster_key_failure(ClusterInfo *cluster)
+{
+ struct stat buffer;
+
+ if (stat (KMGR_DIR_PID, &buffer) == 0)
+ {
+ if (cluster == &old_cluster)
+ pg_fatal("The source cluster had a pg_alterckey failure that needs repair or\n"
+ "pg_alterckey is running. Run pg_alterckey --repair or wait for it\n"
+ "to complete.\n");
+ else
+ pg_fatal("The target cluster had a pg_alterckey failure that needs repair or\n"
+ "pg_alterckey is running. Run pg_alterckey --repair or wait for it\n"
+ "to complete.\n");
+ }
+
+ check_ok();
+}
+
+
/*
* get_canonical_locale_name
*
diff --git a/src/bin/pg_upgrade/controldata.c b/src/bin/pg_upgrade/controldata.c
index 4f647cdf33..7deb040777 100644
--- a/src/bin/pg_upgrade/controldata.c
+++ b/src/bin/pg_upgrade/controldata.c
@@ -9,10 +9,16 @@
#include "postgres_fe.h"
+#include <dirent.h>
#include <ctype.h>
#include "pg_upgrade.h"
+#include "access/xlog_internal.h"
+#include "common/controldata_utils.h"
+#include "common/file_utils.h"
+#include "common/kmgr_utils.h"
+
/*
* get_control_data()
*
@@ -59,6 +65,7 @@ get_control_data(ClusterInfo *cluster, bool live_check)
bool got_date_is_int = false;
bool got_data_checksum_version = false;
bool got_cluster_state = false;
+ int got_file_encryption_method = false;
char *lc_collate = NULL;
char *lc_ctype = NULL;
char *lc_monetary = NULL;
@@ -202,6 +209,13 @@ get_control_data(ClusterInfo *cluster, bool live_check)
got_data_checksum_version = true;
}
+ /* Only in <= 14 */
+ if (GET_MAJOR_VERSION(cluster->major_version) <= 1400)
+ {
+ cluster->controldata.file_encryption_method = DISABLED_ENCRYPTION_METHOD;
+ got_file_encryption_method = true;
+ }
+
/* we have the result of cmd in "output". so parse it line by line now */
while (fgets(bufin, sizeof(bufin), output))
{
@@ -485,6 +499,18 @@ get_control_data(ClusterInfo *cluster, bool live_check)
cluster->controldata.data_checksum_version = str2uint(p);
got_data_checksum_version = true;
}
+ else if ((p = strstr(bufin, "Cluster file encryption method:")) != NULL)
+ {
+ p = strchr(p, ':');
+
+ if (p == NULL || strlen(p) <= 1)
+ pg_fatal("%d: controldata retrieval problem\n", __LINE__);
+
+ p++; /* remove ':' char */
+ /* used later for contrib check */
+ cluster->controldata.file_encryption_method = atoi(p);
+ got_file_encryption_method = true;
+ }
}
pclose(output);
@@ -553,7 +579,8 @@ get_control_data(ClusterInfo *cluster, bool live_check)
!got_index || !got_toast ||
(!got_large_object &&
cluster->controldata.ctrl_ver >= LARGE_OBJECT_SIZE_PG_CONTROL_VER) ||
- !got_date_is_int || !got_data_checksum_version)
+ !got_date_is_int || !got_data_checksum_version ||
+ !got_file_encryption_method)
{
if (cluster == &old_cluster)
pg_log(PG_REPORT,
@@ -619,6 +646,10 @@ get_control_data(ClusterInfo *cluster, bool live_check)
if (!got_data_checksum_version)
pg_log(PG_REPORT, " data checksum version\n");
+ /* value added in Postgres 14 */
+ if (!got_file_encryption_method)
+ pg_log(PG_REPORT, " file encryption method\n");
+
pg_fatal("Cannot continue without required control information, terminating\n");
}
}
@@ -683,6 +714,14 @@ check_control_data(ControlData *oldctrl,
pg_fatal("old cluster uses data checksums but the new one does not\n");
else if (oldctrl->data_checksum_version != newctrl->data_checksum_version)
pg_fatal("old and new cluster pg_controldata checksum versions do not match\n");
+
+ /*
+ * We cannot upgrade if the old cluster file encryption method
+ * doesn't match the new one.
+ */
+ if (oldctrl->file_encryption_method != newctrl->file_encryption_method)
+ pg_fatal("old and new clusters use different file encryption methods or\n"
+ "one cluster uses encryption and the other does not");
}
diff --git a/src/bin/pg_upgrade/file.c b/src/bin/pg_upgrade/file.c
index 9b0cc16e45..ffa3017ad3 100644
--- a/src/bin/pg_upgrade/file.c
+++ b/src/bin/pg_upgrade/file.c
@@ -11,6 +11,7 @@
#include <sys/stat.h>
#include <fcntl.h>
+#include <dirent.h>
#ifdef HAVE_COPYFILE_H
#include <copyfile.h>
#endif
@@ -21,6 +22,7 @@
#include "access/visibilitymap.h"
#include "common/file_perm.h"
+#include "common/file_utils.h"
#include "pg_upgrade.h"
#include "storage/bufpage.h"
#include "storage/checksum.h"
diff --git a/src/bin/pg_upgrade/option.c b/src/bin/pg_upgrade/option.c
index 9c9b313e0c..db76534e68 100644
--- a/src/bin/pg_upgrade/option.c
+++ b/src/bin/pg_upgrade/option.c
@@ -52,6 +52,7 @@ parseCommandLine(int argc, char *argv[])
{"check", no_argument, NULL, 'c'},
{"link", no_argument, NULL, 'k'},
{"retain", no_argument, NULL, 'r'},
+ {"authprompt", no_argument, NULL, 'R'},
{"jobs", required_argument, NULL, 'j'},
{"socketdir", required_argument, NULL, 's'},
{"verbose", no_argument, NULL, 'v'},
@@ -102,7 +103,7 @@ parseCommandLine(int argc, char *argv[])
if (os_user_effective_id == 0)
pg_fatal("%s: cannot be run as root\n", os_info.progname);
- while ((option = getopt_long(argc, argv, "d:D:b:B:cj:ko:O:p:P:rs:U:v",
+ while ((option = getopt_long(argc, argv, "d:D:b:B:cj:ko:O:p:P:rRs:U:v",
long_options, &optindex)) != -1)
{
switch (option)
@@ -180,6 +181,10 @@ parseCommandLine(int argc, char *argv[])
log_opts.retain = true;
break;
+ case 'R':
+ user_opts.pass_terminal_fd = true;
+ break;
+
case 's':
user_opts.socketdir = pg_strdup(optarg);
break;
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index 919a7849fd..3fc8e299ad 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -11,6 +11,7 @@
#include <sys/time.h>
#include "libpq-fe.h"
+#include "common/kmgr_utils.h"
/* Use port in the private/dynamic port number range */
#define DEF_PGUPORT 50432
@@ -219,6 +220,7 @@ typedef struct
bool date_is_int;
bool float8_pass_by_value;
bool data_checksum_version;
+ int file_encryption_method;
} ControlData;
/*
@@ -293,6 +295,7 @@ typedef struct
int jobs; /* number of processes/threads to use */
char *socketdir; /* directory to use for Unix sockets */
bool ind_coll_unknown; /* mark unknown index collation versions */
+ bool pass_terminal_fd; /* pass -R to pg_ctl? */
} UserOpts;
typedef struct
diff --git a/src/bin/pg_upgrade/server.c b/src/bin/pg_upgrade/server.c
index 7fed0ae108..f77ad24db2 100644
--- a/src/bin/pg_upgrade/server.c
+++ b/src/bin/pg_upgrade/server.c
@@ -245,8 +245,9 @@ start_postmaster(ClusterInfo *cluster, bool report_and_exit_on_error)
* vacuumdb --freeze actually freezes the tuples.
*/
snprintf(cmd, sizeof(cmd),
- "\"%s/pg_ctl\" -w -l \"%s\" -D \"%s\" -o \"-p %d%s%s %s%s\" start",
- cluster->bindir, SERVER_LOG_FILE, cluster->pgconfig, cluster->port,
+ "\"%s/pg_ctl\" -w%s -l \"%s\" -D \"%s\" -o \"-p %d%s%s %s%s\" start",
+ cluster->bindir, user_opts.pass_terminal_fd ? " -R" : "",
+ SERVER_LOG_FILE, cluster->pgconfig, cluster->port,
(cluster->controldata.cat_ver >=
BINARY_UPGRADE_SERVER_FLAG_CAT_VER) ? " -b" :
" -c autovacuum=off -c autovacuum_freeze_max_age=2000000000",
--
2.20.1
cfe-08-pg_alterckey_over_cfe-07-bin.difftext/x-diff; charset=us-asciiDownload
From a91b429ec9b26999fbfac6536e879ba419201f1d Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:43 -0400
Subject: [PATCH] cfe-08-pg_alterckey_over_cfe-07-bin squash commit
---
doc/src/sgml/ref/allfiles.sgml | 1 +
doc/src/sgml/ref/pg_alterckey.sgml (new) | 210 +++++++
doc/src/sgml/reference.sgml | 1 +
src/bin/Makefile | 1 +
src/bin/pg_alterckey/.gitignore (new) | 1 +
src/bin/pg_alterckey/Makefile (new) | 38 ++
src/bin/pg_alterckey/README (new) | 24 +
src/bin/pg_alterckey/pg_alterckey.c (new) | 724 ++++++++++++++++++++++
8 files changed, 1000 insertions(+)
diff --git a/doc/src/sgml/ref/allfiles.sgml b/doc/src/sgml/ref/allfiles.sgml
index d67270ccc3..59fe707895 100644
--- a/doc/src/sgml/ref/allfiles.sgml
+++ b/doc/src/sgml/ref/allfiles.sgml
@@ -196,6 +196,7 @@ Complete list of usable sgml source files in this directory.
<!ENTITY dropuser SYSTEM "dropuser.sgml">
<!ENTITY ecpgRef SYSTEM "ecpg-ref.sgml">
<!ENTITY initdb SYSTEM "initdb.sgml">
+<!ENTITY pgalterckey SYSTEM "pg_alterckey.sgml">
<!ENTITY pgamcheck SYSTEM "pg_amcheck.sgml">
<!ENTITY pgarchivecleanup SYSTEM "pgarchivecleanup.sgml">
<!ENTITY pgBasebackup SYSTEM "pg_basebackup.sgml">
diff --git a/doc/src/sgml/ref/pg_alterckey.sgml b/doc/src/sgml/ref/pg_alterckey.sgml
new file mode 100644
index 0000000000..867c439b8e
--- /dev/null
+++ b/doc/src/sgml/ref/pg_alterckey.sgml
@@ -0,0 +1,210 @@
+<!--
+doc/src/sgml/ref/pg_alterckey.sgml
+PostgreSQL documentation
+-->
+
+<refentry id="app-pg_alterckey">
+ <indexterm zone="app-pg_alterckey">
+ <primary>pg_alterckey</primary>
+ </indexterm>
+
+ <refmeta>
+ <refentrytitle><application>pg_alterckey</application></refentrytitle>
+ <manvolnum>1</manvolnum>
+ <refmiscinfo>Application</refmiscinfo>
+ </refmeta>
+
+ <refnamediv>
+ <refname>pg_alterckey</refname>
+ <refpurpose>alter the <productname>PostgreSQL</productname> cluster key</refpurpose>
+ </refnamediv>
+
+ <refsynopsisdiv>
+ <cmdsynopsis>
+ <command>pg_alterckey</command>
+
+ <group choice="plain">
+ <arg choice="plain"><option>-R</option></arg>
+ <arg choice="plain"><option>--authprompt</option></arg>
+ </group>
+
+ <arg choice="plain">
+ <replaceable class="parameter">old_cluster_key_command</replaceable>
+ <replaceable class="parameter">new_cluster_key_command</replaceable>
+ </arg>
+
+ <arg choice="opt">
+ <group choice="plain">
+ <arg choice="plain"><option>-D</option></arg>
+ <arg choice="plain"><option>--pgdata</option></arg>
+ </group>
+ <replaceable class="parameter">datadir</replaceable>
+ </arg>
+
+ </cmdsynopsis>
+
+ <cmdsynopsis>
+ <command>pg_alterckey</command>
+
+ <group choice="opt">
+ <arg choice="plain"><option>-R</option></arg>
+ <arg choice="plain"><option>--authprompt</option></arg>
+ </group>
+
+ <group choice="plain">
+ <arg choice="plain"><option>-r</option></arg>
+ <arg choice="plain"><option>--repair</option></arg>
+ </group>
+
+ <arg choice="opt">
+ <group choice="opt">
+ <arg choice="plain"><option>-D</option></arg>
+ <arg choice="plain"><option>--pgdata</option></arg>
+ </group>
+ <replaceable class="parameter">datadir</replaceable>
+ </arg>
+
+ </cmdsynopsis>
+ </refsynopsisdiv>
+
+ <refsect1 id="r1-app-pg_alterckey-1">
+ <title>Description</title>
+ <para>
+ <command>pg_alterckey</command> alters the cluster key used
+ for cluster file encryption. The cluster key is initially set
+ during <xref linkend="app-initdb"/>. The command can be run while the
+ server is running or stopped. The new password must be used the next
+ time the server is started.
+ </para>
+
+ <para>
+ <command>pg_alterckey</command> changes the key encryption key
+ (<acronym>KEK</acronym>) which encrypts the data encryption keys;
+ it does not change the data encryption keys. It does this by
+ decrypting each data encryption key using the <replaceable
+ class="parameter">old_cluster_key_command</replaceable>,
+ re-encrypting it using the <replaceable
+ class="parameter">new_cluster_key_command</replaceable>, and then
+ writes the result back to the cluster directory.
+ </para>
+
+ <para>
+ See the <xref linkend="app-initdb"/> documentation for how to define
+ the old and new passphrase commands. You can use different executables
+ for these commands, or you can use the same executable with different
+ arguments to specify retrieval of the old or new key.
+ </para>
+
+ <para>
+ <command>pg_alterckey</command> manages data encryption keys,
+ which are critical to allowing Postgres to access its decrypted
+ data. For this reason, it is very careful to preserve these
+ keys in most possible failure conditions, e.g., operating system
+ failure during cluster encryption key rotation.
+ </para>
+
+ <para>
+ When started, <command>pg_alterckey</command> repairs any files that
+ remain from previous failures before altering the cluster encryption
+ key. During this repair phase, <command>pg_alterckey</command> will
+ either roll back the cluster key or roll forward the changes that
+ were previously requested. The server will not start if repair is
+ needed, though a running server is unaffected by an unrepaired cluster
+ key configuration. Therefore, if <command>pg_alterckey</command>
+ fails for any reason, it is recommended you run the command with
+ <option>--repair</option> to simply roll back or forward any previous
+ changes. This will report if it rolled the cluster key back or forward,
+ and then run the command again to change the cluster key if needed.
+ </para>
+
+ <para>
+ You can specify the data directory on the command line, or use
+ the environment variable <envar>PGDATA</envar>.
+ </para>
+ </refsect1>
+
+ <refsect1>
+ <title>Options</title>
+
+ <para>
+ <variablelist>
+ <varlistentry>
+ <term><option>-R</option></term>
+ <term><option>--authprompt</option></term>
+ <listitem>
+ <para>
+ Allows the <option>old_cluster_key_command</option> and
+ <option>new_cluster_key_command</option> commands
+ to prompt for a passphrase or PIN.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </para>
+
+ <para>
+ Other options:
+
+ <variablelist>
+ <varlistentry>
+ <term><option>-V</option></term>
+ <term><option>--version</option></term>
+ <listitem>
+ <para>
+ Print the <application>pg_alterckey</application> version and exit.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><option>-?</option></term>
+ <term><option>--help</option></term>
+ <listitem>
+ <para>
+ Show help about <application>pg_alterckey</application> command line
+ arguments, and exit.
+ </para>
+ </listitem>
+ </varlistentry>
+
+ </variablelist>
+ </para>
+
+ </refsect1>
+
+ <refsect1>
+ <title>Environment</title>
+
+ <variablelist>
+ <varlistentry>
+ <term><envar>PGDATA</envar></term>
+
+ <listitem>
+ <para>
+ Default data directory location
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><envar>PG_COLOR</envar></term>
+ <listitem>
+ <para>
+ Specifies whether to use color in diagnostic messages. Possible values
+ are <literal>always</literal>, <literal>auto</literal> and
+ <literal>never</literal>.
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect1>
+
+ <refsect1>
+ <title>See Also</title>
+
+ <simplelist type="inline">
+ <member><xref linkend="app-initdb"/></member>
+ </simplelist>
+ </refsect1>
+
+</refentry>
diff --git a/doc/src/sgml/reference.sgml b/doc/src/sgml/reference.sgml
index da421ff24e..dff7a42645 100644
--- a/doc/src/sgml/reference.sgml
+++ b/doc/src/sgml/reference.sgml
@@ -240,6 +240,7 @@
</para>
</partintro>
+ &pgalterckey;
&clusterdb;
&createdb;
&createuser;
diff --git a/src/bin/Makefile b/src/bin/Makefile
index 2fe0ae6652..6db542c1bf 100644
--- a/src/bin/Makefile
+++ b/src/bin/Makefile
@@ -17,6 +17,7 @@ SUBDIRS = \
initdb \
pg_amcheck \
pg_archivecleanup \
+ pg_alterckey \
pg_basebackup \
pg_checksums \
pg_config \
diff --git a/src/bin/pg_alterckey/.gitignore b/src/bin/pg_alterckey/.gitignore
new file mode 100644
index 0000000000..4c4f39f2cc
--- /dev/null
+++ b/src/bin/pg_alterckey/.gitignore
@@ -0,0 +1 @@
+/pg_alterckey
diff --git a/src/bin/pg_alterckey/Makefile b/src/bin/pg_alterckey/Makefile
new file mode 100644
index 0000000000..2133a4ba06
--- /dev/null
+++ b/src/bin/pg_alterckey/Makefile
@@ -0,0 +1,38 @@
+#-------------------------------------------------------------------------
+#
+# Makefile for src/bin/pg_alterckey
+#
+# Copyright (c) 1998-2021, PostgreSQL Global Development Group
+#
+# src/bin/pg_alterckey/Makefile
+#
+#-------------------------------------------------------------------------
+
+PGFILEDESC = "pg_alterckey - alter the cluster key"
+PGAPPICON=win32
+
+subdir = src/bin/pg_alterckey
+top_builddir = ../../..
+include $(top_builddir)/src/Makefile.global
+
+OBJS = \
+ $(WIN32RES) \
+ pg_alterckey.o
+
+all: pg_alterckey
+
+pg_alterckey: $(OBJS) | submake-libpgport
+ $(CC) $(CFLAGS) $^ $(LDFLAGS) $(LDFLAGS_EX) $(LIBS) -o $@$(X)
+
+install: all installdirs
+ $(INSTALL_PROGRAM) pg_alterckey$(X) '$(DESTDIR)$(bindir)/pg_alterckey$(X)'
+
+installdirs:
+ $(MKDIR_P) '$(DESTDIR)$(bindir)'
+
+uninstall:
+ rm -f '$(DESTDIR)$(bindir)/pg_alterckey$(X)'
+
+clean distclean maintainer-clean:
+ rm -f pg_alterckey$(X) $(OBJS)
+ rm -rf tmp_check
diff --git a/src/bin/pg_alterckey/README b/src/bin/pg_alterckey/README
new file mode 100644
index 0000000000..6db3739271
--- /dev/null
+++ b/src/bin/pg_alterckey/README
@@ -0,0 +1,24 @@
+pg_alterckey
+============
+
+This directory contains the code to generate the pg_alterckey binary.
+
+Architecture
+------------
+
+pg_alterckey allows altering of the cluster encryption key (key
+encryption key or KEK) which is stored outside of the file system; see
+src/backend/crypto/README for more details. This must be done in a
+crash-safe manner since the keys are critical to reading an encrypted
+cluster. The active data encryption keys (DEK) are encrypted/wrapped by
+the KEK and stored in PGDATA/pg_cryptokeys/live as separate files,
+currently files 0 and 1.
+
+This process can be interrupted at anytime; the new execution of
+pg_alterckey will repair any previously interrupted execution of
+pg_alterckey.
+
+pg_alterckey should never be run concurrently. A lock file prevents
+almost all concurrent execution. pg_alterckey can be run if the
+database server is running or stopped, so it can't use database locking
+that is only available when the server is running.
diff --git a/src/bin/pg_alterckey/pg_alterckey.c b/src/bin/pg_alterckey/pg_alterckey.c
new file mode 100644
index 0000000000..7e3d4ad915
--- /dev/null
+++ b/src/bin/pg_alterckey/pg_alterckey.c
@@ -0,0 +1,724 @@
+/*-------------------------------------------------------------------------
+ *
+ * pg_alterckey.c
+ * A utility to change the cluster key (key encryption key, KEK)
+ * used for cluster file encryption. The KEK wrap data encryption
+ * keys (DEK).
+ *
+ * The theory of operation is fairly simple:
+ * 1. Create lock file
+ * 2. Retrieve current and new cluster key using the supplied
+ * commands.
+ * 3. Revert any failed alter operation.
+ * 4. Create a "new" directory
+ * 5. Unwrap each DEK in "live" using the old KEK
+ * 6. Wrap each DEK using the new KEK and write it to "new"
+ * 7. Rename "live" to "old"
+ * 8. Rename "new" to "live"
+ * 9. Remove "old"
+ * 10. Remove lock file
+ *
+ * Portions Copyright (c) 1996-2021, PostgreSQL Global Development Group
+ * Portions Copyright (c) 1994, Regents of the University of California
+ *
+ * src/bin/pg_alterckey/pg_alterckey.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+
+#define FRONTEND 1
+
+#include "postgres_fe.h"
+
+#include <signal.h>
+#include <unistd.h>
+#include <sys/stat.h>
+#include <fcntl.h>
+
+#include "common/file_perm.h"
+#include "common/file_utils.h"
+#include "common/hex.h"
+#include "common/restricted_token.h"
+#include "crypto/kmgr.h"
+#include "common/logging.h"
+#include "getopt_long.h"
+#include "pg_getopt.h"
+
+typedef enum
+{
+ SUCCESS_EXIT = 0,
+ ERROR_EXIT,
+ RMDIR_EXIT,
+ REPAIR_EXIT
+} exit_action;
+
+#define MAX_WRAPPED_KEY_LENGTH 64
+
+static int lock_fd = -1;
+static bool pass_terminal_fd = false;
+int terminal_fd = -1;
+static bool repair_mode = false;
+static char *old_cluster_key_cmd = NULL,
+ *new_cluster_key_cmd = NULL;
+static char old_cluster_key[KMGR_CLUSTER_KEY_LEN],
+ new_cluster_key[KMGR_CLUSTER_KEY_LEN];
+static CryptoKey data_key;
+unsigned char in_key[MAX_WRAPPED_KEY_LENGTH],
+ out_key[MAX_WRAPPED_KEY_LENGTH];
+int in_klen,
+ out_klen;
+static char top_path[MAXPGPATH],
+ pid_path[MAXPGPATH],
+ live_path[MAXPGPATH],
+ new_path[MAXPGPATH],
+ old_path[MAXPGPATH];
+
+static char *DataDir = NULL;
+static const char *progname;
+
+static void create_lockfile(void);
+static void recover_failure(void);
+static void retrieve_cluster_keys(void);
+static void bzero_keys_and_exit(exit_action action);
+static void reencrypt_data_keys(void);
+static void install_new_keys(void);
+
+static void
+usage(const char *progname)
+{
+ printf(_("%s changes the cluster key of a PostgreSQL database cluster.\n\n"), progname);
+ printf(_("Usage:\n"));
+ printf(_(" %s [OPTION] old_cluster_key_command new_cluster_key_command [DATADIR]\n"), progname);
+ printf(_(" %s [repair_option] [DATADIR]\n"), progname);
+ printf(_("\nOptions:\n"));
+ printf(_(" -R, --authprompt prompt for a passphrase or PIN\n"));
+ printf(_(" [-D, --pgdata=]DATADIR data directory\n"));
+ printf(_(" -V, --version output version information, then exit\n"));
+ printf(_(" -?, --help show this help, then exit\n"));
+ printf(_("\nRepair options:\n"));
+ printf(_(" -r, --repair repair previous failure\n"));
+ printf(_("\nIf no data directory (DATADIR) is specified, "
+ "the environment variable PGDATA\nis used.\n\n"));
+ printf(_("Report bugs to <%s>.\n"), PACKAGE_BUGREPORT);
+ printf(_("%s home page: <%s>\n"), PACKAGE_NAME, PACKAGE_URL);
+}
+
+
+int
+main(int argc, char *argv[])
+{
+ static struct option long_options[] = {
+ {"authprompt", required_argument, NULL, 'R'},
+ {"repair", required_argument, NULL, 'r'},
+ {"pgdata", required_argument, NULL, 'D'},
+ {NULL, 0, NULL, 0}
+ };
+
+ int c;
+
+ pg_logging_init(argv[0]);
+ set_pglocale_pgservice(argv[0], PG_TEXTDOMAIN("pg_alterckey"));
+ progname = get_progname(argv[0]);
+
+ if (argc > 1)
+ {
+ if (strcmp(argv[1], "--help") == 0 || strcmp(argv[1], "-?") == 0)
+ {
+ usage(progname);
+ exit(0);
+ }
+ if (strcmp(argv[1], "--version") == 0 || strcmp(argv[1], "-V") == 0)
+ {
+ puts("pg_alterckey (PostgreSQL) " PG_VERSION);
+ exit(0);
+ }
+ }
+
+ /* check for -r/-R */
+ while ((c = getopt_long(argc, argv, "D:rR", long_options, NULL)) != -1)
+ {
+ switch (c)
+ {
+ case 'D':
+ DataDir = optarg;
+ break;
+ case 'r':
+ repair_mode = true;
+ break;
+ case 'R':
+ pass_terminal_fd = true;
+ break;
+ default:
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"), progname);
+ exit(1);
+ }
+ }
+
+ if (!repair_mode)
+ {
+ /* get cluster key commands */
+ if (optind < argc)
+ old_cluster_key_cmd = argv[optind++];
+ else
+ {
+ pg_log_error("missing old_cluster_key_command");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(1);
+ }
+
+ if (optind < argc)
+ new_cluster_key_cmd = argv[optind++];
+ else
+ {
+ pg_log_error("missing new_cluster_key_command");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(1);
+ }
+ }
+
+ if (DataDir == NULL)
+ {
+ if (optind < argc)
+ DataDir = argv[optind++];
+ else
+ DataDir = getenv("PGDATA");
+
+ /* If no DataDir was specified, and none could be found, error out */
+ if (DataDir == NULL)
+ {
+ pg_log_error("no data directory specified");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"), progname);
+ exit(1);
+ }
+ }
+
+ /* Complain if any arguments remain */
+ if (optind < argc)
+ {
+ pg_log_error("too many command-line arguments (first is \"%s\")",
+ argv[optind]);
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(1);
+ }
+
+ /*
+ * Disallow running as root because we create directories in PGDATA
+ */
+#ifndef WIN32
+ if (geteuid() == 0)
+ {
+ pg_log_error("%s: cannot be run as root\n"
+ "Please log in (using, e.g., \"su\") as the "
+ "(unprivileged) user that will\n"
+ "own the server process.\n",
+ progname);
+ exit(1);
+ }
+#endif
+
+ get_restricted_token();
+
+ /* Set mask based on PGDATA permissions */
+ if (!GetDataDirectoryCreatePerm(DataDir))
+ {
+ pg_log_error("could not read permissions of directory \"%s\": %m",
+ DataDir);
+ exit(1);
+ }
+
+ umask(pg_mode_mask);
+
+ snprintf(top_path, sizeof(top_path), "%s/%s", DataDir, KMGR_DIR);
+ snprintf(pid_path, sizeof(pid_path), "%s/%s", DataDir, KMGR_DIR_PID);
+ snprintf(live_path, sizeof(live_path), "%s/%s", DataDir, LIVE_KMGR_DIR);
+ snprintf(new_path, sizeof(new_path), "%s/%s", DataDir, NEW_KMGR_DIR);
+ snprintf(old_path, sizeof(old_path), "%s/%s", DataDir, OLD_KMGR_DIR);
+
+ /* Complain if any arguments remain */
+ if (optind < argc)
+ {
+ pg_log_error("too many command-line arguments (first is \"%s\")",
+ argv[optind]);
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(1);
+ }
+
+ if (DataDir == NULL)
+ {
+ pg_log_error("no data directory specified");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"), progname);
+ exit(1);
+ }
+
+ create_lockfile();
+
+ recover_failure();
+
+ if (!repair_mode)
+ {
+ retrieve_cluster_keys();
+ reencrypt_data_keys();
+ install_new_keys();
+ }
+
+#ifndef WIN32
+ /* remove file system reference to file */
+ if (unlink(pid_path) < 0)
+ {
+ pg_log_error("could not delete lock file \"%s\": %m", KMGR_DIR_PID);
+ exit(1);
+ }
+#endif
+
+ close(lock_fd);
+
+ bzero_keys_and_exit(SUCCESS_EXIT);
+}
+
+/* Create a lock file; this prevents almost all cases of concurrent access */
+void
+create_lockfile(void)
+{
+ struct stat buffer;
+ char lock_pid_str[20];
+
+ if (stat(top_path, &buffer) != 0 || !S_ISDIR(buffer.st_mode))
+ {
+ pg_log_error("cluster file encryption directory \"%s\" is missing; is it enabled?", KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+
+ /* Does a lockfile exist? */
+ if ((lock_fd = open(pid_path, O_RDONLY, 0)) != -1)
+ {
+ int lock_pid;
+ int len;
+
+ /* read the PID */
+ if ((len = read(lock_fd, lock_pid_str, sizeof(lock_pid_str) - 1)) == 0)
+ {
+ pg_log_error("cannot read pid from lock file \"%s\": %m", KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+ lock_pid_str[len] = '\0';
+
+ if ((lock_pid = atoi(lock_pid_str)) == 0)
+ {
+ pg_log_error("invalid pid in lock file \"%s\": %m", KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+
+ /* Is the PID running? */
+ if (kill(lock_pid, 0) == 0)
+ {
+ pg_log_error("active process %d currently holds a lock on this operation, recorded in \"%s\"",
+ lock_pid, KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+
+ close(lock_fd);
+
+ if (repair_mode)
+ printf("old lock file removed\n");
+
+ /* ----------
+ * pid is no longer running, so remove the lock file.
+ * This is not 100% safe from concurrent access, e.g.:
+ *
+ * process 1 exits and leaves stale lock file
+ * process 2 checks stale lock file of process 1
+ * process 3 checks stale lock file of process 1
+ * process 2 remove the lock file of process 1
+ * process 4 creates a lock file
+ * process 3 remove the lock file of process 4
+ * process 5 creates a lock file
+ *
+ * The sleep(2) helps with this since it reduces the likelihood
+ * a process that did an unlock will interfere with another unlock
+ * process. We could ask users to remove the lock, but that seems
+ * even more error-prone, especially since this might happen
+ * on server start. Many PG tools seem to have problems with
+ * concurrent access.
+ * ----------
+ */
+ unlink(pid_path);
+
+ /* Sleep to reduce the likelihood of concurrent unlink */
+ pg_usleep(2000000L); /* 2 seconds */
+ }
+
+ /* Create our own lockfile? */
+#ifndef WIN32
+ lock_fd = open(pid_path, O_RDWR | O_CREAT | O_EXCL, pg_file_create_mode);
+#else
+ /* delete on close */
+ lock_fd = open(pid_path, O_RDWR | O_CREAT | O_EXCL | O_TEMPORARY,
+ pg_file_create_mode);
+#endif
+
+ if (lock_fd == -1)
+ {
+ if (errno == EEXIST)
+ pg_log_error("an active process currently holds a lock on this operation, recorded in \"%s\"",
+ KMGR_DIR_PID);
+ else
+ pg_log_error("unable to create lock file \"%s\": %m", KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+
+ snprintf(lock_pid_str, sizeof(lock_pid_str), "%d\n", getpid());
+ if (write(lock_fd, lock_pid_str, strlen(lock_pid_str)) != strlen(lock_pid_str))
+ {
+ pg_log_error("could not write pid to lock file \"%s\": %m", KMGR_DIR_PID);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+}
+
+/*
+ * ----------
+ * recover_failure
+ *
+ * A previous pg_alterckey might have failed, so it might need recovery.
+ * The normal operation is:
+ * 1. reencrypt LIVE_KMGR_DIR -> NEW_KMGR_DIR
+ * 2. rename KMGR_DIR -> OLD_KMGR_DIR
+ * 3. rename NEW_KMGR_DIR -> LIVE_KMGR_DIR
+ * remove OLD_KMGR_DIR
+ *
+ * There are eight possible directory configurations:
+ *
+ * LIVE_KMGR_DIR NEW_KMGR_DIR OLD_KMGR_DIR
+ *
+ * Normal:
+ * 0. normal X
+ * 1. remove new X X
+ * 2. install new X X
+ * 3. remove old X X
+ *
+ * Abnormal:
+ * fatal
+ * restore old X
+ * install new X
+ * remove old and new X X X
+ *
+ * We don't handle the abnormal cases, just report an error.
+ * ----------
+ */
+static void
+recover_failure(void)
+{
+ struct stat buffer;
+ bool is_live,
+ is_new,
+ is_old;
+
+ is_live = !stat(live_path, &buffer);
+ is_new = !stat(new_path, &buffer);
+ is_old = !stat(old_path, &buffer);
+
+ /* normal #0 */
+ if (is_live && !is_new && !is_old)
+ {
+ if (repair_mode)
+ printf("repair unnecessary\n");
+ return;
+ }
+ /* remove new #1 */
+ else if (is_live && is_new && !is_old)
+ {
+ if (!rmtree(new_path, true))
+ {
+ pg_log_error("unable to remove new directory \"%s\": %m", NEW_KMGR_DIR);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+ printf(_("removed files created during previously aborted alter operation\n"));
+ return;
+ }
+ /* install new #2 */
+ else if (!is_live && is_new && is_old)
+ {
+ if (rename(new_path, live_path) != 0)
+ {
+ pg_log_error("unable to rename directory \"%s\" to \"%s\": %m",
+ NEW_KMGR_DIR, LIVE_KMGR_DIR);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+ printf(_("Installed new cluster password supplied in previous alter operation\n"));
+ return;
+ }
+ /* remove old #3 */
+ else if (is_live && !is_new && is_old)
+ {
+ if (!rmtree(old_path, true))
+ {
+ pg_log_error("unable to remove old directory \"%s\": %m", OLD_KMGR_DIR);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+ printf(_("Removed old files invalidated during previous alter operation\n"));
+ return;
+ }
+ else
+ {
+ pg_log_error("cluster file encryption directory \"%s\" is in an abnormal state and cannot be processed",
+ KMGR_DIR);
+ fprintf(stderr, _("Exiting with no changes made.\n"));
+ exit(1);
+ }
+}
+
+/* Retrieve old and new cluster keys */
+void
+retrieve_cluster_keys(void)
+{
+ int cluster_key_len;
+ char cluster_key_hex[ALLOC_KMGR_CLUSTER_KEY_LEN];
+
+ /*
+ * If we have been asked to pass an open file descriptor to the user
+ * terminal to the commands, set one up.
+ */
+ if (pass_terminal_fd)
+ {
+#ifndef WIN32
+ terminal_fd = open("/dev/tty", O_RDWR, 0);
+#else
+ terminal_fd = open("CONOUT$", O_RDWR, 0);
+#endif
+ if (terminal_fd < 0)
+ {
+ pg_log_error(_("%s: could not open terminal: %s\n"),
+ progname, strerror(errno));
+ exit(1);
+ }
+ }
+
+ /* Get old key encryption key from the cluster key command */
+ cluster_key_len = kmgr_run_cluster_key_command(old_cluster_key_cmd,
+ (char *) cluster_key_hex,
+ ALLOC_KMGR_CLUSTER_KEY_LEN,
+ live_path, terminal_fd);
+ if (pg_hex_decode(cluster_key_hex, cluster_key_len,
+ (char *) old_cluster_key, KMGR_CLUSTER_KEY_LEN) !=
+ KMGR_CLUSTER_KEY_LEN)
+ {
+ pg_log_error("cluster key must be at %d hex bytes", KMGR_CLUSTER_KEY_LEN);
+ bzero_keys_and_exit(ERROR_EXIT);
+ }
+
+ /*
+ * Create new key directory here in case the new cluster key command needs
+ * it to exist.
+ */
+ if (mkdir(new_path, pg_dir_create_mode) != 0)
+ {
+ pg_log_error("unable to create new cluster key directory \"%s\": %m", NEW_KMGR_DIR);
+ bzero_keys_and_exit(ERROR_EXIT);
+ }
+
+ /* Get new key */
+ cluster_key_len = kmgr_run_cluster_key_command(new_cluster_key_cmd,
+ (char *) cluster_key_hex,
+ ALLOC_KMGR_CLUSTER_KEY_LEN,
+ new_path, terminal_fd);
+ if (pg_hex_decode(cluster_key_hex, cluster_key_len,
+ (char *) new_cluster_key, KMGR_CLUSTER_KEY_LEN) !=
+ KMGR_CLUSTER_KEY_LEN)
+ {
+ pg_log_error("cluster key must be at %d hex bytes", KMGR_CLUSTER_KEY_LEN);
+ bzero_keys_and_exit(ERROR_EXIT);
+ }
+
+ if (pass_terminal_fd)
+ close(terminal_fd);
+
+ /* output newline */
+ puts("");
+
+ if (memcmp(old_cluster_key, new_cluster_key, KMGR_CLUSTER_KEY_LEN) == 0)
+ {
+ pg_log_error("cluster keys are identical, exiting\n");
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+}
+
+/* Decrypt old keys encrypted with old pass phrase and reencrypt with new one */
+void
+reencrypt_data_keys(void)
+{
+ PgCipherCtx *old_ctx,
+ *new_ctx;
+
+ old_ctx = pg_cipher_ctx_create(PG_CIPHER_AES_KWP,
+ (unsigned char *) old_cluster_key,
+ KMGR_CLUSTER_KEY_LEN, false);
+ if (!old_ctx)
+ pg_log_error("could not initialize encryption context");
+
+ new_ctx = pg_cipher_ctx_create(PG_CIPHER_AES_KWP,
+ (unsigned char *) new_cluster_key,
+ KMGR_CLUSTER_KEY_LEN, true);
+ if (!new_ctx)
+ pg_log_error("could not initialize encryption context");
+
+ for (int id = 0; id < KMGR_NUM_DATA_KEYS; id++)
+ {
+ char src_path[MAXPGPATH],
+ dst_path[MAXPGPATH];
+ int src_fd,
+ dst_fd;
+ int len;
+ struct stat st;
+
+ CryptoKeyFilePath(src_path, live_path, id);
+ CryptoKeyFilePath(dst_path, new_path, id);
+
+ if ((src_fd = open(src_path, O_RDONLY | PG_BINARY, 0)) < 0)
+ {
+ pg_log_error("could not open file \"%s\": %m", src_path);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ if ((dst_fd = open(dst_path, O_RDWR | O_CREAT | O_TRUNC | PG_BINARY,
+ pg_file_create_mode)) < 0)
+ {
+ pg_log_error("could not open file \"%s\": %m", dst_path);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ if (fstat(src_fd, &st))
+ {
+ pg_log_error("could not stat file \"%s\": %m", src_path);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ in_klen = st.st_size;
+
+ if (in_klen > MAX_WRAPPED_KEY_LENGTH)
+ {
+ pg_log_error("invalid wrapped key length (%d) for file \"%s\"", in_klen, src_path);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ /* Read the source key */
+ len = read(src_fd, in_key, in_klen);
+ if (len != in_klen)
+ {
+ if (len < 0)
+ pg_log_error("could read file \"%s\": %m", src_path);
+ else
+ pg_log_error("could read file \"%s\": read %d of %u",
+ src_path, len, in_klen);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ /* decrypt with old key */
+ if (!kmgr_unwrap_data_key(old_ctx, in_key, in_klen, &data_key))
+ {
+ pg_log_error("incorrect old key specified");
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ if (KMGR_MAX_KEY_LEN_BYTES + pg_cipher_blocksize(new_ctx) > MAX_WRAPPED_KEY_LENGTH)
+ {
+ pg_log_error("invalid max wrapped key length");
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ /* encrypt with new key */
+ if (!kmgr_wrap_data_key(new_ctx, &data_key, out_key, &out_klen))
+ {
+ pg_log_error("could not encrypt new key");
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ /* Write to the dest key */
+ len = write(dst_fd, out_key, out_klen);
+ if (len != out_klen)
+ {
+ pg_log_error("could not write fie \"%s\"", dst_path);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+
+ close(src_fd);
+ close(dst_fd);
+ }
+
+ /* The cluster key is correct, free the cipher context */
+ pg_cipher_ctx_free(old_ctx);
+ pg_cipher_ctx_free(new_ctx);
+}
+
+/* Install new keys */
+void
+install_new_keys(void)
+{
+ /*
+ * Issue fsync's so key rotation is less likely to be left in an
+ * inconsistent state in case of a crash during this operation.
+ */
+
+ if (rename(live_path, old_path) != 0)
+ {
+ pg_log_error("unable to rename directory \"%s\" to \"%s\": %m",
+ LIVE_KMGR_DIR, OLD_KMGR_DIR);
+ bzero_keys_and_exit(RMDIR_EXIT);
+ }
+ fsync_dir_recurse(top_path);
+
+ if (rename(new_path, live_path) != 0)
+ {
+ pg_log_error("unable to rename directory \"%s\" to \"%s\": %m",
+ NEW_KMGR_DIR, LIVE_KMGR_DIR);
+ bzero_keys_and_exit(REPAIR_EXIT);
+ }
+ fsync_dir_recurse(top_path);
+
+ if (!rmtree(old_path, true))
+ {
+ pg_log_error("unable to remove old directory \"%s\": %m", OLD_KMGR_DIR);
+ bzero_keys_and_exit(REPAIR_EXIT);
+ }
+ fsync_dir_recurse(top_path);
+}
+
+/* Erase memory and exit */
+void
+bzero_keys_and_exit(exit_action action)
+{
+ explicit_bzero(old_cluster_key, sizeof(old_cluster_key));
+ explicit_bzero(new_cluster_key, sizeof(new_cluster_key));
+
+ explicit_bzero(in_key, sizeof(in_key));
+ explicit_bzero(&data_key, sizeof(data_key));
+ explicit_bzero(out_key, sizeof(out_key));
+
+ if (action == RMDIR_EXIT)
+ {
+ if (!rmtree(new_path, true))
+ pg_log_error("unable to remove new directory \"%s\": %m", NEW_KMGR_DIR);
+ printf("Re-running pg_alterckey to repair might be needed before the next server start\n");
+ exit(1);
+ }
+ else if (action == REPAIR_EXIT)
+ {
+ unlink(pid_path);
+ printf("Re-running pg_alterckey to repair might be needed before the next server start\n");
+ }
+
+ /* return 0 or 1 */
+ exit(action != SUCCESS_EXIT);
+}
--
2.20.1
cfe-09-test_over_cfe-08-pg_alterckey.difftext/x-diff; charset=us-asciiDownload
From 7d171de2a1a247a619f6c6b197b45e17d223cfc6 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:44 -0400
Subject: [PATCH] cfe-09-test_over_cfe-08-pg_alterckey squash commit
---
src/test/Makefile | 4 +
src/test/README | 3 +
src/test/crypto/.gitignore (new) | 4 +
src/test/crypto/KWP_AD_128.txt (new) | 35 ++
src/test/crypto/KWP_AD_256.txt (new) | 35 ++
src/test/crypto/KWP_AE_128.txt (new) | 35 ++
src/test/crypto/KWP_AE_256.txt (new) | 35 ++
src/test/crypto/Makefile (new) | 39 ++
src/test/crypto/README (new) | 33 ++
src/test/crypto/gcmDecrypt128.rsp (new) | 129 ++++++
src/test/crypto/gcmDecrypt256.rsp (new) | 129 ++++++
src/test/crypto/gcmEncryptExtIV128.rsp (new) | 129 ++++++
src/test/crypto/gcmEncryptExtIV256.rsp (new) | 129 ++++++
src/test/crypto/t/001_testcrypto.pl (new) | 137 ++++++
src/test/crypto/t/002_testkwp.pl (new) | 126 +++++
src/test/crypto/t/003_clusterkey.pl (new) | 93 ++++
src/test/crypto/t/004_buffers.pl (new) | 157 +++++++
src/test/crypto/testcrypto.c (new) | 458 +++++++++++++++++++
18 files changed, 1710 insertions(+)
diff --git a/src/test/Makefile b/src/test/Makefile
index f7859c2fd5..590846ecd2 100644
--- a/src/test/Makefile
+++ b/src/test/Makefile
@@ -15,6 +15,10 @@ include $(top_builddir)/src/Makefile.global
SUBDIRS = perl regress isolation modules authentication recovery subscription \
locale
+ifeq ($(with_openssl),yes)
+SUBDIRS += crypto
+endif
+
# Test suites that are not safe by default but can be run if selected
# by the user via the whitespace-separated list in variable
# PG_TEST_EXTRA:
diff --git a/src/test/README b/src/test/README
index afdc767651..0955a764e3 100644
--- a/src/test/README
+++ b/src/test/README
@@ -11,6 +11,9 @@ which tests get run automatically.
authentication/
Tests for authentication (but see also below)
+crypto/
+ Tests for cluster file encryption
+
examples/
Demonstration programs for libpq that double as regression tests via
"make check"
diff --git a/src/test/crypto/.gitignore b/src/test/crypto/.gitignore
new file mode 100644
index 0000000000..7b92218ad2
--- /dev/null
+++ b/src/test/crypto/.gitignore
@@ -0,0 +1,4 @@
+# Generated by test suite
+/tmp_check/
+/log/
+/testcrypto
diff --git a/src/test/crypto/KWP_AD_128.txt b/src/test/crypto/KWP_AD_128.txt
new file mode 100644
index 0000000000..d77aeab719
--- /dev/null
+++ b/src/test/crypto/KWP_AD_128.txt
@@ -0,0 +1,35 @@
+# CAVS 21.4
+# 'NIST SP 800-38F KWP-AD with AES-128 cipher function' information for test-files
+# Seed = 0f0c6b6602d959d22ff2305478ea477a85d196d9695abf5b445010b45ce046c501bc04e6ca4faf46137adf6eac452d97314cd91137e33fc30cc6df316117fed3
+# Generated on Fri Apr 6 14:46:45 2018
+[PLAINTEXT LENGTH = 4096]
+
+COUNT = 0
+K = 1dd51f0d3a0a784174ba81b2c9f89005
+C = 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
+P = 1a4eed4bf5b8d2e2a58f1f1277f164cc32cdadaed848f76fe634034082ff9aa1711870bf3936d01a2aa48de30de5143b9148cf56f4490f9d480dda0b672e8e17a012cd26cec3c68837bd5b2f9beb13e0110f21c6c36343e09e027f39557d1596d4ca406e3e7aa113e9bb8623106bae25f0ea23d46bc29970ba2596f83fe4f73a6f978a4d949fa7c271570a2ae5d2b50792d5ab5c43d455f359fb83c35ca3da37cd73cd66b6adce94d78ecdeabf667daa47ea70799af299e1d898ccf3fca6c42c6fff8cf2ec992f596fed4a0cdb502a00f9b5689302931d15cba691e2f8079a0411332438b714ace5234b91e4aebee8f8dda0e1968c2016fed350430a65d8d206c9436f40b79ce03083b8dc207d6960be1ce97007ed22a388ebb7b3d8f7d2b7d9f8f49731fbcb21e21db0cdd15674c795d5af2b2cd727f83e634e8c47157ed0c6873a5c9419e683f16f4a7827b444967812f9d1adb9201b89a0e66bbcf0591465f5d7036a21cdda0e10099feb819dfc37fdd3105120044dab716882d3971f312e3f4459006fd5a1eab08ff63edf6718f47ddaa37f7f40c9c372995f3aec97bc45e287b64fc8cf5559ab04a4d4d3ed482f5d61d3abd99cc87ee406da3ab9c9cd22ba3b8d191b26754aa94a2412f39e332d77fe72210adb0cbb5c96adebdbde036f1f1aaafad74a7ac2594f81efa734054e2e16dc931d49b970b81756862705fcd4
+
+COUNT = 1
+K = b3fa008b5947ce58dfbd354dd01f2d43
+C = 55cd8e45138f477ce0a84f07bd28a93d7d628bb4860207a2f6dc4256bd79843e32c856a4fa831d1603699d49e6c36291b60aa80635900cc6c78cf0a2ddc457beb41782de0de03f08a064df90b41f2e98ce61185d735380403fe56b68f8343a801a14afb8a7ba79684dc2a585110da83e9a836cae1fd9e1a220dd6dc922b4f02b15ca88d43ab61e1da24a9b3cb99c4e5024ce5667f4841ca2a305b1f4c1ae9fb63d1d4dcb83870755a1a646b16c088e612d82ba2bf0e7e2fa0e8035c3baeb595f1ac9bb49b01f6f71392e217c049c0e9bd794b9aa2383cf59ee0a90f965610c65ecd629a17cba2bdf2458e3a8e1a9d219cb66eb9ec8e5226b34f95003064952523920a0b4e94ec8ecd1bdca8a65fe46ed25fd4d076e46fa62a8cde6eabc593045d17cef996ebbeca4b537f65c4f683a10baeb4c42b9867bbb49ca7ea1c5437bc114948c542cffced9bb1ebe3c946eb24ff55be89be004596ba648b264167217d267b881020b905f508e4f0e1a58eca051d56ff30d91891838c574c3de54e3feafcdf514740ddc94ba92cb85fe86033e67f14d90be7a0222e4bd1624cea8894df66a36a8e848dfe9168d8024b7ba5636afbcf6b945a53e6b2778f229af7dc2e59bebbf8bdbdfde1e21465f6b6344b13afa0e5ceac212b3b88932f21b1ae04268476597c92e64ff7c14b9ef678f10a35b56cd70ba03063f94aed97b0a6cf883d1f07facfa37b6e5b070
+P = a067ab39cede4ac6c6cb7630cba48c52a794ac8ebec037125bcd97d1a3c52a8ed64764899f9035a6944d0605a5d977172a55bbf86cd81aef5d6bafb1ac86bfa65da2b3c39bf5da94a98f7b6dbc5df16a7b38061e0665ad16b20fb6aedc9ce7f6d3497c3c55cea92e6343f21251092ef2ea307b35f999683298098bedaea847d1ccbf8bda18dc477e8d49fee4e357273396ad2245703485b97b5a7d97057bad875a3e76b67ad5adbc6ef3b8ba9a1786aa93149f0f8dd166535acbf93f1b9839754d537da3fae1ab02973427c3f353fe9aa6c5a100bf0e6ccb08dc1fdb0fc363a95c77c5758d440db0a70f0340a4c488de51e1ecb932ce2fcb2c95ea28c9f55695d97ba1765c8f11e523ae3e4e1efceb69000a192c047ab197f4840c664c035064ecc12926fd3bca0527a160b5b5a2bbaf5db11437f2c38a1c7535e87f552b9f04f2fdd309a826e4ec7708217022fb075cdfc6cc23e9301e33068caa69ef746f357b09ccc098443a3a2979a225e70be1e722e8d6fbb57d0dded2456c1d47eeb0af2241f769836026fec8fc51d97c4abbe9710a4aa5b95aaac83bee57e1333fa244ccc971b6260a9be16e31cc2fd283fec1b247a7340d149fe5309acb47c9cdb955b7bcc4df277eaf611e8af281ff0bcd64b4534309282d1b5cb14efa93141869d67ce7e418f06bb4c2feebcb7a1151aea2eb8bc2fc4dcee53de9b2fb1803490caf
+
+COUNT = 2
+K = 4b4c43c9de4fb4a2a7a7adafeabe2dbd
+C = 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
+FAIL
+
+COUNT = 3
+K = 96ab719a3d08df2393ebc330e151dab1
+C = d50ae797f6c3418f388a7513d693c6dd665e858767531fbccd3eb1aabe796690ec8fbb757d88b169adf5c136de50ff0f2cfdd8389f812382578aee0b0b61e13c6a2bc500640fe1585f068eee0d1fa3420220e23090e24e3248fe16f4e0c7c0e996a21b4947ddd08fd3ccc1f036651be4f48ee1ffb486cdc05911244480548221d8da1f2bc37dece080e51b2cdd1ddebf37213a4dfa1b252e567243d9cec8c89eb8db544e7c389a2e13f1b91d860df3cbcec3e85c93276c2a9a5fa080efc85e9bad3bfe2d9bb06498dd8b3720456bfabd3c69b345f6954872baa1d43b9f7ceb92ae9ad77b270d0b94c79275a48874dafb136105f5553529687b6aeeaa521790b9376c9f88ace94049235cd52c4387ad210442513dd5e07171519d58b1294fb8ac1f60ac68b8f07b418e1bb0598601ec38b9a9b137dd87d0c8a41089d17ca1c720fd0e7e3b81b85a373753bed0f5e29586f84cb29e1d88c379c965c50f6a803ddfac2e1555beb9c208a3821f53bead8f120f4ef4a1490b730a0b8a2f1869c6b985520d709bdc0e5fce44316b8aa2448a2743761bf77bdbbfdab6a721a8ec79f38f7e7321a80a2cd3a35a912eaac5eace85c4cad3c6685b88be4517cd1c20971b85bd9e8eb6e52869e014831dff7585a163f5a4dbf1d59160104da90a9cfcc8d6a0324942b40fde4319a32442d83ebbf5d7a36e9495be2ffd0e7faec1b66c96f71843750b8a051b7170
+P = 3a3b9e6de537458875e59204ef7565b6dde796e5ab11c83f7a361b8143f0f7a7eadb5b53c6efa6d199f759cad5c029004024eabbaff717bafb95646dc31a8f6063b9f8faaea650dfa8803bfa0c79091f299a55f78611c2e0d015021d6c6d3abf3d85cac306740acc144201516b787421a77c78a566c6eadc88ecdeea4ff861b6db73f7b00f0a8f62faedefa58866fb368424d7267afdf5ff1279916d2f177408d780697e1c45e58a524bb0365858d2b5a42ee2bd9e8904134d04cf071e84db8a31804aa8bebc0b28dd621360385117764178fe74b29da3ac390ac4812fdc7eedf91fce6eaae3d03163435001ce42f55982daeda5cec5deb960b35df231463cbc26267746be628c53b55f4f21ef003816eb7bfc6c710efa03d0994a1b3c8595fc9293a2c101483798034d4ee7e3d5e07bbd897c9de4b8315e53cbd1f81bdecbd59d093c844a0ed1e3e9d238707a7b893ca453745223c67756d9062152b239ceec44c436e0896a59ea9ea8cf79a93b8b759389bb5e73c5f5330e26580d9777817400166d826008be5e8c7184ae2ecf8fb9dba92af3c747c74e1534c05395f9204b5e8481fdcf4dab5ea6224a8e0ee52576d467d930c0899d31a4e288e3eecb8cb7a3be3a66c79ae93033de5d0d422a6d54ab002d1a82f3f60db97834d9fa3782dd64cbec8ddcac2216a393dc263cea2705fd072ec82dfa1ddef9c588c49f17c275
+
+COUNT = 4
+K = d8c221e426109cb5911d7d6f0836f4cd
+C = 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
+P = 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
+
+COUNT = 5
+K = 704eb91dd5ba3d85279cf47c01eca2a5
+C = 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
+FAIL
diff --git a/src/test/crypto/KWP_AD_256.txt b/src/test/crypto/KWP_AD_256.txt
new file mode 100644
index 0000000000..6d28f39705
--- /dev/null
+++ b/src/test/crypto/KWP_AD_256.txt
@@ -0,0 +1,35 @@
+# CAVS 21.4
+# 'NIST SP 800-38F KWP-AD with AES-256 cipher function' information for test-files
+# Seed = bf1ba8f321ce0abadb40026686c9d9e7f0c4a55388f2ea7cefc81aeb0e054d40c94f48093f2739580010d6ad6e6ce734f21e7338100b750ec9c7bb06bf46f7f4
+# Generated on Fri Apr 6 14:47:06 2018
+[PLAINTEXT LENGTH = 4096]
+
+COUNT = 0
+K = 08f5c088acec18e6cf1f03a8f85d772e327e7fb07f8c2939eb554e84c42ab93d
+C = dff30fd43647d4be54cf2dfd6187e2ddffb55267313f980fb09c833a9c2bfa558a95861711f0acb2a5c7e731ba22f24a9c4dfdd9e9b0216e9088f817a175b9835b0e17615687a20f68c067205626494cd04fbabc0b3eea7c0a4cd6236bc8b3e52e721dfc357fb8a3722bfcc4c690d8f63dbb864bb6e3a15805aea7270f8eb748deebaa2d066fcda11c2e67221f9a91d2c29a6c79ffae76aa80a2590b4f9e35f623fbf2f8ceb2a205493077556a186e25e5bd52dcff7bcc6909b37a66c1d1431be1b363bb40da25386eaaf5fcabc7be6422a04434a21d1d3105328e7c56770b9f59b03395e4138f5f06fc7e6b80dab87b08caa7bfffc45a095c15263efd3f06c651ded6f58074efc20620d704997fc84721a0a8e9e5b9f5cd330bbb156b31d9d1b1c260e4a24535f30404dc5b2dd6b35d916a1391b25a7d8790be09d85483ed1522074a2785812005bda10dd55acb245b3bd3d9bb777dd23f9b02538ba1a114ba53386d7ca4d9524b2f8a18e0ffb21580b560540bb2146f08f04974b90eb324547d56222df95f44bc6e5f183bef283e4816fb1b2933f9c7c6726a245a495e304d8318d0008c51b0be8090f8f668fbc3f31e073be4b9e97468f4dd8c798e9d682868df493db8a85738b58cfd005190f365849072577772672c6f82555c65046eb34e86fe61103327a063bacbbe33cea7eaa3d1de45471b7269e1b6b38608626e323447a3d5fe0599a6
+P = 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
+
+COUNT = 1
+K = 94c4d5d70f881e58e10e7246cf812d40e2be258adb2b6c13c6603fc7daf7e85a
+C = 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
+P = 85693a16ae69d751cfa6799b95a6396de2eabe7e4da74d734691d992cba353a39f3b9615c1325db5b0563ce1a846bb0f0534a86130ce6657736b9a9b35b0f8d89dd1b3a295131d2f3f57f94deef9606dad76a377d0b24e632b3680e4d3338f3e4484609e8063e9ec621297f55802d7c347e8085ba6e514884b8fc1ae109409c5c3a5bddf4daf034d300e31eccba07a9380f5325666c4a3aa12d60b30ca272fe03534aabe78ba0452a7e4648ebfd4645675629676be6f122a54b6b810cf9cc0c68b7c61470a537a5a664ec24dbb3eb4f9fa8355cc7ae8fef27a0146df5ccc585d8c106a1eeb64ad4c701fd5a54ef18295b07e9e47f7f7dd2f67d38ed776a5f0b28843cc4bb5d7fdbea9cb0088dee849ae232e4e016d8cf3681971e8a45d6b25451538212b91f30e17580a8107a7a95587a06d22d615f5475a5f616fdf2fab79152f2643054d96ba88f50888eb0f2f1f154c6fff53dd44c3613269751dca4fa86f45d6b1af9ad0159685223889529609e7003c8f3cab491fd6c1a020305da8f94ec833d721d9fac7e575c2a1bc26eb4fb5010c35ffbd39b98d857f12584f4ab7de92aa6d7e7148a0120cc6b3f7ae47a291ba1cf55a28d38d3a30dfc3917d663458cf840385ca81cf70acce45a5cd509f8387d450bbdd6fa51830cf9a7387887c620b86809c55a3eb322ca784a51693f1054759804314ae86048f0d9c99650a5a12
+
+COUNT = 2
+K = d65338fd3771fd58c07b6b689577378939d439628529b92cd5625edd18afac76
+C = 1c429bf25c144a2cc649fbd60de5c26c31a0c352de99b34b86101c551994f082feffe1db8853de59b3e8593785eca100a71c5392f0c71eca9f411cbd87fc77ea1a96376dc13f6ad460a11e9cd5a829875a7b7dcd2ba4eaac08c5bb48ab5d4c338a6f8bc5e760739edcff2db116b5b1802e35f936d473db168edd12532a992bcc418a759cc9fd3f97f561623078af29d7ab489b7ec564ba981c188f11240dd9354c324f8d0cdf1c74252f0fc75e390e837b8be90a670f5803ee53eb75c3ce95b2853b2342e54f86dd9aeb308eb82ceb2bae7b3e0b364d17105eb61b3843f7206bdb6abb818efe0f0d3b1004e370191e8218cca14947aa8070f7c66fd0422b02ab4a1d94fa46197acd24e272c765667353e819588402feb85d7f00243521d0e7a9d9e70753d8b51d374ea9c8355536594bf05a6960ca7176a4b66086b055b099e315a23e042a7e0807316d7a11a657a6dc9043806e248a9af06570f710af65267d436a5fcb001104fe8a7c564afe075d85bc0a2ce3d33d8d93d5ab1e923f51d4ef26cbb6fd4a935a97cb115aed678e75d5d67fbfcd2362cb3d74ed6b9b9fb0cf82569a474a25e5aa39d22fe5cd301045203d9f93cf5c9e9e9451f1bf3566eec75fbd995cf8c640aa68fb04f5419344057fd1c0e655d750a68c523b0fab24cab03d7393ee3a5735039daed52895dfe7937f55d7ae9a8c0256e9d638a8598452f5329353a20c4bd9958c
+P = 58b20979cba48a9dc95a8857f5bce433087ff93470fc62546e86e72dfaaf7b233ffe428802390c1db7cba00b1f23678aace4a16a237b41d26bcd83d471030929a34e8467f85eaef070b9b74a57f13e91b4e95a3c0b8dfea87d026196a10168c152c4ac42718989003b7e688ca43207034b674d3cbab6f57db6513f8883d27f2280c742896a62e7d0f3f20377e98a0688652d270887fdacb86daa086ffda17937e6d20e4a82667f80ac7749a889b0d748e906d653f569b86de2b42b5819ade9c92970d4caeeed8cd5759d56fd38205215bd8401b2a5a000990afe6c9bea8d091171e85ed83f45bb5b9a8d74cae897cc36f1eaf0122693990b1fb57d0025ad6d92c90885accb649368fe237c4cf017787609fb93c9ea5b413847a9fcf2d2ccb6283345a278619abf8dc351682928187bf92551a820939ec73928eb9930c48f7088ed0a367882f4a8b20d754c5f06bc82990da02227923eb8d1cb73c23793ea0d19bed4a9986f0d48d7835733d1ed3396ec3cf15e1854473b05535261251f4f0af8a0743b3298888bec2f7656493d05eb2d9b848e6802845fb9f7835b50d6a0f0e6cfdaf9b1afc6caa6573b3350256e6f23cc4681316705e33eb0a5f664b79be556cb1bbdd0208430cdc95a35f61facbe7ca2a9bd329e4a1fa42aab9bb02f6519a5672346a4cfac1b96a969317480dd995e339af888fc0e43692332d583fec6215d
+
+COUNT = 3
+K = 1726706350c11e6883955f24ea11ab247ce3b2ab54d05e67ad9770b5564483dd
+C = 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
+FAIL
+
+COUNT = 4
+K = 32e57ccfe7563dc0a20c14ee450837a33606c086ce1467fd7ec58467154338ab
+C = 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
+P = 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
+
+COUNT = 5
+K = e3982db2032f2b4ce658fc44b76f5964c45cd31bf803708982ae599186fc3765
+C = 975e49a4b9a770957a1bb2be920a4f39b9cfd69ba46983d2473d631c08132b9bf61c44510b8aa8bd48c70a86276aa1149d8fdefad511d15d2e2037d9e920e640cb71a97663d19eb90d0b74d9764d03e17cda87ebec6e35ac2003cb75bf9192920d910188d78e2e664255fdf6c9190319d34adb858162ff0830f37fe1dd44003d3d5a1f9451949e368f46ad1977ce622daadf8483a1f60359992b9b366e8a81ffbe96cee45d3aef2fd0ad8c17cc34927af77a0d6d0c5deef3b4a25c82ec388667a493bb0599ac492b351246cbad6d283bf1820883afa48bd909eb7304b9fc5b7d960344309133aab7a85c49f7de396926f50bc83c95900cd049eac1b387aae7fcba5345496425f9216e1fd15c20da75fbb26da176149b40a701e15a7bacfe899e3ecc534ab8bc5b7bd081fb825b5f40fa57e363d7bce40020e73f638acfa097b89c50cb9edb0bd6d71d429b8003aa5dcb7d61792eb3bcac795954c625a104209b373c28cf02038c3318916edd2b818e6719ec154cfa56afb2f337d333069f915d0d35edd6c278fae23c4440c40be462a1dcab23758e4a7fbe8436493f58e890092ea71cb8bcf1336e9ee16b852ccc488f21682dc9f02bdf6c56fe8ad04d84a3c69d8d06dee3d126c0a75f142d0c90c256139acd4b719573e588b80b4540024a05a35044cf58d89673923a534c3816492e62379797cd6e6a7464da5eaaf11ee7b9c27b9b03d7b53c03
+P = 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
diff --git a/src/test/crypto/KWP_AE_128.txt b/src/test/crypto/KWP_AE_128.txt
new file mode 100644
index 0000000000..a682d4bb32
--- /dev/null
+++ b/src/test/crypto/KWP_AE_128.txt
@@ -0,0 +1,35 @@
+# CAVS 21.4
+# 'NIST SP 800-38F KWP-AE with AES-128 cipher function' information for test-files
+# Seed = 7c0f161159cc9e338308ddc59a655450a030832b3d4576c568d63725d57b020073aee9c77d9fec34eab358b83bf5aae4fb52803343bc03d472283edbebbcf75c
+# Generated on Fri Apr 6 14:46:12 2018
+[PLAINTEXT LENGTH = 4096]
+
+COUNT = 0
+K = 0e54956a24c7d4a343f90269fb18a17f
+P = 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
+C = 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
+
+COUNT = 1
+K = 6b8ba9cc9b31068ba175abfcc60c1338
+P = 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
+C = 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
+
+COUNT = 2
+K = 5f0f2428ad83ea04642d8f90e31f00ad
+P = 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
+C = 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
+
+COUNT = 3
+K = 9b5c2e4a9e53d3e5f5670af2440439db
+P = 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
+C = 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
+
+COUNT = 4
+K = f2713273ad5b7add10d2b8d8b61d2f68
+P = 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
+C = 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
+
+COUNT = 5
+K = 8967c8058742169ab39d2d528130df80
+P = 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
+C = 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
diff --git a/src/test/crypto/KWP_AE_256.txt b/src/test/crypto/KWP_AE_256.txt
new file mode 100644
index 0000000000..66d8523987
--- /dev/null
+++ b/src/test/crypto/KWP_AE_256.txt
@@ -0,0 +1,35 @@
+# CAVS 21.4
+# 'NIST SP 800-38F KWP-AE with AES-256 cipher function' information for test-files
+# Seed = 6eb04695fd5dc2b0038aff221b225c302fc9cde3d6dbf4195d9d4d2756c8303906335e07679fee9a80e5d0d1580f7cdab8f0fdd78c0fa58f34afccdcba4820a5
+# Generated on Fri Apr 6 14:46:23 2018
+[PLAINTEXT LENGTH = 4096]
+
+COUNT = 0
+K = 20f31cded60b8ed8d9d3fd1e1fa6244e76c7cb7628bfd28a5d63ce8aa2c9494d
+P = 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
+C = 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
+
+COUNT = 1
+K = 85c8aa6d9c83cbcb11550c95cb9fa991d49dc89fbe2531e10694269f38e9a309
+P = 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
+C = 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
+
+COUNT = 2
+K = 5309c5dff8fb03b007c28bda0a219d329080120b430f4b5af9df60ebbe20890c
+P = 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
+C = c6a64b49464f5db516dd39f3d1dbc444528b5da57016b5f2a5649965a4781962264dee68d4c78e987f9446cdc815aabeff2590d3e2679a2583dbfd3aa6b8bd3bcd86d66d598daa6e766a6ab8fc6fe98a1bc89b5a137a342a59dfb52c7e7b2feb2a33d5f936503121476a9eee8d5c60b6c4c9aa7f8c56ddee5b4a9d7908890d3aa98f45cce20a074896aacefb6d7520e84b6675d02b819f37929746298d2c81407c20328a1ff4ee6da8298fd639fa9bba4ba27da5e19520434e27ae4bef59b73c3660aba0353701573d602d8135442a14cea4dbca3732a3fc8e5ac831929ad48ca30d4ee0f068f54faafb50bc7c6a784e81cf86b29225200f985af914ea6ed166e08c04e6324a372550603c98bb6c010ea7219699e76e4cdd9c4b8e6c9200d10c51e93a57f25b0019ae436dde220868596e96ebea3086089ece51b93a812c8120b8ba60435720ed690a2d1ff7c024cd514cf73bc7cb121a83222e4fba2dca65aaafd8cb51ac096511f83327458c53119f2462caf6cde5ae679fafd4f96756aa496ae6657ce417b2963c09463ab810ef51b4942dd1ecd120d69ae76f8928f3bcf20465f68e526beb7cef276533270f08136c4088182dcd626ffb2c3c4a357d09affb6b935e671bc827779ec6f260acf2c01f1faad57b162fb50579ed45909be1cb2a4a4dd07effcae6a2342022e0bad504261bb8d5d3b73eea932b0135fbb76fd6b8f8d3b6435db6d3
+
+COUNT = 3
+K = 8027a28b92435ac111a67ba0f4af5cdd50e6bbf965cb9077189143440db0327d
+P = 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
+C = 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
+
+COUNT = 4
+K = 1a5b5f43929215da78d1d8c8fd4ba4508a66273be95c85a892da606eed04d6da
+P = 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
+C = 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
+
+COUNT = 5
+K = 2a919617d24baf991779de6c06e68bbc4894a4e9a702214ba3eabfbd0015a7c0
+P = 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
+C = eb62ee28d9929093e3c6dbc0592c35dd0ffbe8faa37173195da391b84b1ffb342b9bd9f0df0947c33c7c74a071e7d71312f91c8e1f11d680865563f2d9604dea06892f2adaf2028246b74ecc82686bd7c369426a09f23012b69a89e7e66e7cf008b41dbf04f72cf950fd8f6ed63b3392de53b6feb34e45df3153e4aa6fdd685fcd7e3239f0509f474d8f6a58abfbd36bf14f93fecf913b2f9a0f0763c39cb6828651434ef0520cee88f46daef7932e5ce1549774ec106c2aba54cff64067e0202167f5a3ba1cd6396bda08023d2cfa9100043b44b8d90e2862d7d2a7f6e3f5eb6976dac2d5dbd2adeb69858ca391fdd4a582d3cb79a2d9fb57ad5b2cbd157b1e36ed49fb848e9960b0dd1c715b701f1d379027999fe8e35769e27a9ef60a45aeee56c7a3ebb39f6c50796d1236e721cd0e5d931e6a85f28fd87d652c3e5b706e2e97c12c4b33fc7df4585d60d0326267d8d252ab8970a2528be086d7ad18ee4b1531cc13b9c88cb3a9188a47b8a72cd276eb4d7d726a290398a98be0083e9917f349d2c8137a6fcd2232baedb6edf075d8e938319a12bfc31726b13d0e1a6c18ae33e11ad1f451fb9693f1774aec30fa7b473c98cbaf4dad1b3743d118ce69620503a753b87e4ae25f36564c2538d6650291087ae04d181e4fc44b6804b5bb0c6c8a0aa04a49895ea64d13f7d253e62216736a716258bc98c63349b5b19f5ae9aec3a176f98cb298
diff --git a/src/test/crypto/Makefile b/src/test/crypto/Makefile
new file mode 100644
index 0000000000..9b5fce5b30
--- /dev/null
+++ b/src/test/crypto/Makefile
@@ -0,0 +1,39 @@
+#------------------------------------------------------------------------
+#
+# Makefile for test crypto programs
+#
+# Copyright (c) 1998-2021, PostgreSQL Global Development Group
+#
+# src/test/crypto/Makefile
+#
+#------------------------------------------------------------------------
+
+PGFILEDESC = "testcrypto - test PG crypto routines"
+PGAPPICON=win32
+
+subdir = src/test/crypto
+top_builddir = ../../..
+include $(top_builddir)/src/Makefile.global
+
+export with_ssl
+
+OBJS = \
+ $(WIN32RES) \
+ testcrypto.o
+
+PROGS = testcrypto
+
+all: $(PROGS)
+
+testcrypto: $(OBJS) | submake-libpgport
+ $(CC) $(CFLAGS) $^ $(LDFLAGS) $(LDFLAGS_EX) $(LIBS) -o $@$(X)
+
+check: temp-install $(PROGS)
+ $(prove_check)
+
+installcheck: $(PROGS)
+ $(prove_installcheck)
+
+clean distclean maintainer-clean:
+ rm -f $(PROGS) $(OBJS)
+ rm -rf tmp_check log
diff --git a/src/test/crypto/README b/src/test/crypto/README
new file mode 100644
index 0000000000..3750346a83
--- /dev/null
+++ b/src/test/crypto/README
@@ -0,0 +1,33 @@
+src/test/crypto/README
+
+Regression tests for cluster file encryption
+============================================
+
+This directory contains scripts for testing cluster file encryption.
+The first two tests test the encryption/decryption using AES128 and
+AES256 in GCM mode and the Key Wrap with Padding (KWP) method.
+
+The third test tests that the data encryption keys can be encrypted and
+decrypted, and tests cluster key rotation via pg_alterckey. The fourth
+test checks that the database files are encrypted.
+
+Running the tests
+=================
+
+Run
+ make check
+or
+ make installcheck
+You can use "make installcheck" if you previously did "make install".
+In that case, the code in the installation tree is tested. With
+"make check", a temporary installation tree is built from the current
+sources and then tested.
+
+Either way, this test initializes, starts, and stops a test Postgres
+cluster.
+
+Requirements
+============
+
+OpenSSL must be compiled into the server for these test to run; if not
+the tests are skipped.
diff --git a/src/test/crypto/gcmDecrypt128.rsp b/src/test/crypto/gcmDecrypt128.rsp
new file mode 100644
index 0000000000..53f694d37a
--- /dev/null
+++ b/src/test/crypto/gcmDecrypt128.rsp
@@ -0,0 +1,129 @@
+# CAVS 14.0
+# GCM Decrypt with keysize 128 test information
+# Generated on Fri Aug 31 11:28:04 2012
+
+[Keylen = 128]
+[IVlen = 1024]
+[PTlen = 408]
+[AADlen = 0]
+[Taglen = 32]
+
+Count = 0
+Key = 137f40bc82b01b34047a407f40d5c434
+IV = 1f3de3a272227db8a88ba0cf7b23f7e57f84ce370b289e2f774a0c6184f44f9df9b3e645ae506e3d18cdc819fdc3b31f77d2dae7ee295ba2c776e6f1fefecec740021c4aa1118a6ed3813720411f27ace5c11437a78b3d626b5f421e2f3ffcd0677930e7878110a0cad535c057261c63f0531b538d8bf04f491c16e871f071ac
+CT = f6336f2001a5edc519aa64071fabec2fbe4654ff334871e9cb8b12c24ffb7ec9f0d316e43bbdb568b65608f937f24f64eab19b
+AAD =
+Tag = ea3d8cad
+PT = 60881890126afdf881dba4c1a7bd0f9d8c240073517b21c622bfa70c1f05d59544b9dccdd908bd924ca60d23697fe64aab927c
+
+Count = 1
+Key = 5e49fac6608ee4157a9f0ffde503893c
+IV = 53d854bba28eb9d9db71e68b5916f9e73964a0f95c6524411fb18f64977d012d611a15fe8d46ec49bcabf060cfc7989c4a8272567c660c0881f944066b88311992b5d52cd644bf07e9f01d2249e5f9b00ae1af9f2739da627b3a8838e28116b02e7d171d1938edc6dd5d7da3dac63ed148b367961b809bf423510f0a3f44a8d5
+CT = 23bff066410784e0999a3d0fe742ee28ce8095fe822fae0f50b0b17d70c8cdcd705c83e108fcef2d64c5b4db110e9a72d3c4e2
+AAD =
+Tag = 01aaf4e6
+FAIL
+
+Count = 2
+Key = 174b47de82c64196af18214d9d6dce2f
+IV = db9653e9ca4ff27f8180f45eaf4861541d30b3b147d2b9b64709983dd08312b5fa709a7bc6afc591fbdd08fa0f21f06a25758ee199a6c6415cffdd9777280e620d7bfaa6d551875c069f5672a730aa68137cf33f86d46cbd548248e68f589c2e699c554ae4680417e9440e5514c1cee03205324f789d953d63518b023f65abe6
+CT = f8b0c1317c5f3550363762dc7fcc847376a7917e1505cddafeb5451ecf4464ef52afd797697f1b0b1e8d3a2376600d6acc1c88
+AAD =
+Tag = f6fa70c6
+PT = 523986d433fbcca153af7765d177e2bad72ba52743440250db451e2da643913cb25b33fa364011a8f8d5cb563b461d46952923
+
+Count = 3
+Key = 5194e88020a501ddf21a7ba5525bff70
+IV = 444b0037fba6cb9d4f4e33df32289d44f262d8f535564a1921e6a4315611b98a4e1074b37114758b421ca44efda91a48ba8674c695c259649c0bd3c11bcdc8363d3d113a534bd790988a44e72559fa70a5e2deeb9da187e2fa89c7b636a000a38d7bfec2edf2831ddfc9326f0c54956c149e5ffba3f556c8f2a749dc6ed5407a
+CT = 31398e58d6e27c50e85c87a4dbfd73134f456ff042c9f869b47a41e3c10db7b24cffc103a2185a696fdc1f2d389cbf41379f04
+AAD =
+Tag = 2d28343a
+FAIL
+
+Count = 4
+Key = de250ebe0ea1212480f7193934d1ae84
+IV = 255f658334f1c5258d613ef92da7242079795e9c04c5c4e800aa1c03b6abe77f4dc28cf614278900b52f1de23550fc9c0ace8e8dd91a25d0240281dcd684dcb786839f376496692f3e35a5946bbf7b39cabf7d782f4e77eec53a875d2a5e3106238dae0d048e8b9ec7b05961d9d68489bcbe2805ab0f9cd42b5f8f62b4b28b00
+CT = 6eace8c7c10c713870c676e557c6b49134af26011af157de1e2c6ce0769fab666b9a7844756d6b948ccdf1df77fa98119c83a0
+AAD =
+Tag = 87b81d39
+FAIL
+
+Count = 5
+Key = d0d9c4aa70e5bcad8dd9d72d14c21c54
+IV = da20388ed0709e5af5a52a5293bc4060f02ed6d05d96f9ac3a05c14118a3613ff790b721ff2c888d63c04b9b28a7138ca00d0ebbfcb11b70868f5b90c0dce79c7220fb90d5f3b6e22c6ae3640e7dfaca72ec12813820debdb69f90c8393645d7e96cc36bdf62ecc4c0ec181c64593c65c8f707d6db61b16c6a5c2f05f8851692
+CT = 2f08e5a8027a88f0e223429e6749dbdf91ff9742c7c6130962ae837a434a7247600df8e2004fcf3e81f8ef64e6a23bda002f3e
+AAD =
+Tag = ef6c0d39
+FAIL
+
+Count = 6
+Key = 464609f485abe0bf4930102f9637fdee
+IV = d0a788fa1494d47bd1cddd55f88515229de5c1a2ca7dca054e08bf35d3c0aba677671d5290c3375fabe40de14e15465138d298edea5efe1ac62452dfee86920fec8e46577bae1c0b43d77cb6b8d1de6ba4557d7410796bede796b8b87b5771e30e05a8bfa55ed92194d506892c33f8ad6038ee8896b98772d1a88a7a40ceb650
+CT = 5e81bd883fbedb3e074ba273751081752c3aeb7a62b08091b768f8f8e6c0913cf633358fc26885150adf65bd1d708d9e45eff2
+AAD =
+Tag = 7e715546
+FAIL
+
+Count = 7
+Key = 018319ad18e5d877dbdd871316fa6610
+IV = 941f8715bbba7b1fdfa98c8c05546a50f86cd02b654862af6c1a70cf4d79618b37abd1f06b7a29bbed74e728a8c78a0ec8ef8312f2552fc4571f48024ec5c6d44c21d69311cb1ba390cda615f246cb175a9e8a522a20b671e6df973b8924fd003c5dab7e59af63f20edf56e9dbc9f98fcac25cc692cd87a3d8fbf8d4b5f150cf
+CT = c5a681b2b2e5f68e0cb698150aab9d13e93e900e0e6fb20170a4104839a7e0a5775bb3f20ae814edd109530552ee2b41cf5986
+AAD =
+Tag = 75a966e1
+FAIL
+
+Count = 8
+Key = 3556566a1cdec721469cc86412ade697
+IV = 731a29cc083422da193724a57c8126b587c3817fbc6b76bee106abb3ac48722bfd0cc15deb573ca73f2bc10ad7b60024f297bc52c31a7021bda91c5246c781a95d5d18978c685f096e9310d6f5ed151122262f7d3f5a2b265321683cd72e0693ff608e378199264eea876df44659817997b323e43457e70809c74737d015cf26
+CT = 753174df0aff575fcea79e54e5b8347e69175070a00d58720529b173e9dc64677fdf459ad72385b03244d90810670304129f2e
+AAD =
+Tag = 41147153
+PT = 7588b757f08b75fc799fc825034ac60585e24c56db94920b6982bbae86030e7a021ddc89a5131e5371e9295e414d3503ec11e3
+
+Count = 9
+Key = 2ec96059d1313923fe522bed1e942491
+IV = aafb096a63195cfc959bf93785a48cb7a78b98c60f861c9646129222643d249e50d46f706d670662f60c12a7f0a6ad65b908ede9a56b27c46f07d427754c11549154632e9b5ffa25c9306add4c0b13c7191abd59430a65ccc42c5420ec98093ad6ec6ad1c4d3bb895ca3546236c2c78cd075b4b1f44a6a03d115b91df02b96b9
+CT = 61c6b8bd44c9c6eb075fa9bba7ac0156bc64a6326d32afedb51f35daf232dfd068dbfd0505933519a753bce6de4560b79b31f1
+AAD =
+Tag = 26f53f5c
+PT = e4b86f8b7684d6a300cdca848ee8185c41fcfe061e61af6f3a563ceccab58751f1884b322019983d99150db217a1e92a8f15bb
+
+Count = 10
+Key = 48cbb46539dca9faa97b69b32015886f
+IV = 1d3152ccf3ff05a81837ac7c55f791c78aba8c95149c80de8724b1126dda847b983a1bfe54ac5206d5915dd0796944e4daf432b14a72c5fcf81822ce1e3e7ade345528641b94a2fdc90afac098b9e4b0b5ad159ba275dcbcc11fec04bba0f12db9b3d1473ea0ed7825d293fd0b5d2d07795b3de922bba5660778adbdb2cf8539
+CT = b2658e897b85d9acf437f9e895189954134c543aaa91fa82c586cb5bb1d96e04b189df64df5bfcb63a567e444f4653aee3fdbf
+AAD =
+Tag = 48d21620
+PT = ef58f7ad664e36dce523408e497acb871e9a579fe4688be6425adf41c4c41db85e905e9279b93a037648802dfc273b387e7216
+
+Count = 11
+Key = c5c2e83c4e5b336e30257c95c8f7f75d
+IV = 269c29118eb9cb4ae8fd8ff5b3a5d61f4a63a719416bf2cc5225544cabdae24741239ba7910d1a32364c341169a215264ae62964322b6ac64002d09455f11d9658a9454cc6bafa82dba5b5365b2243e854470dbe74a3043b5f5f82ebefadaca4d468317c83076691c188af6e800dc296cdd941fc1aaed8840874f8cbbf96827e
+CT = 891da6e799429c772edfe93d9fc3ad20c25fd5a172d272d0ee6b7063b59b611e4a2805923f182abf99373fbe4a1759339bb13d
+AAD =
+Tag = 6759d819
+PT = 474a2e7aa4a5422bf17f257b584059fc7abe2d25e7243b434a6f936f5a0eaed692616a43a2aef8b427d83ddf1bece29d96c581
+
+Count = 12
+Key = f4d7a0e84b7f024988f0507098415616
+IV = 9d58c03fe45a97d4c556bafa4292766c55bd84d0e467c6c26b0e42162015f3f506c9fa06caac63a3ef6a3f0ea62ca4e122bf453a767b2b00d6277a990329b76073c64ef260421d887eaf89b6deb488a0528608ee8c38faa5f5976b2b71d7e29a08ccbeb2342ec15c46232f3c8867ada7cb8cc8aed0728dc59d706913ba62124a
+CT = 11358bd3ea694574c0bde99aafc2621732fcd978626d3a3ef124e98a2c3dcb8261580306b51ffa9557d379952ee31bffd9ade0
+AAD =
+Tag = cc46943b
+PT = 4a289261f4ced6fbe544fa27d430f04c72ccfdbbe0f93e881fcc1b29a19e706a579a98304cb2b03cfb3aacbe187dc69f923ee5
+
+Count = 13
+Key = 31237ffe81db56b9541133156fd0e7d8
+IV = feea389ed83bddb360f42351cfd56321bdd0a8fbbdcc8787725a236365eafe5dbc9c6e9ec8e9ea0f74e623c33a574ea4223a43b1550add0c75d8348315add72ee9561e1750b69defd46214bcc507d4db4c66c6da23612aabc2ebc9b0e6d5aeee270c013a553ddbc7d7d7ac62ecb33a5a6e3db859471ca3d3686203c0c96eed2e
+CT = b965d7bb29a8811872c894d535e001d534a7d6e99eea5bd14ebf39c5e79c623a67d549bafbd0dcee1494245c04854f34de677e
+AAD =
+Tag = e6fac1d4
+FAIL
+
+Count = 14
+Key = b0e576fd7cc85f7c92d44e4b8c149b3c
+IV = 3855af97c5b740baebda1532c196d187b8af0da761489ee9e267fcbeb720bf6f73cd743b69d942f3f44893d68a5c70174a1863dfb831ced0ffbee668a03e1066e8b3dc03dc1471c3a848b3787c0645b20add2fc0cc37e5e0aa57ef08fc69c53897030fcb5579a831ee53c76df2f75d2de5bea93e9ddd8e4e1383bfa1a7c7aa77
+CT = 624aad7fd047a61c09638b8dd5065d7c00960035440303a03ff1b19caac02baa3b6835581f2b66c2381006798c9d5d63d65684
+AAD =
+Tag = e6142617
+PT = 0fb24ea93a14e3d76c4d7a991cb55e6bde4083504ac9f3a00d4b0ef53d3929953b53f5ce820c41b9aa75a985e09986d3f4baee
diff --git a/src/test/crypto/gcmDecrypt256.rsp b/src/test/crypto/gcmDecrypt256.rsp
new file mode 100644
index 0000000000..af72933a60
--- /dev/null
+++ b/src/test/crypto/gcmDecrypt256.rsp
@@ -0,0 +1,129 @@
+# CAVS 14.0
+# GCM Decrypt with keysize 256 test information
+# Generated on Fri Aug 31 11:31:25 2012
+
+[Keylen = 256]
+[IVlen = 1024]
+[PTlen = 408]
+[AADlen = 0]
+[Taglen = 32]
+
+Count = 0
+Key = 60c9f83fb0ddbdc727e70bf9eb1acc13b1b63e3056e64db7c2ac55c4f2068273
+IV = c33d34a3673b93bb78dd1e00f877c4e6e4cf628438b9effa61cfe81e159155cc9ca7c1418917527ed3f0a51daf2bedbdaca20fad687a7dd086ae086c8ff5094e9b31fd71bd6f8f1f1adbf96bb2690663386c37d7bce891137897aeef70be10a453cef7e31c1b8c0a24ac1baeaf08a46aac445ad5a8103804825fde86dd4720b4
+CT = df6586921250aacd9d25f432977e92b09ddf89a9403c83a80890ff15ce9c4559145ecd85d86f1573bbc1b48992859d22fc13b6
+AAD =
+Tag = b0dc70f0
+FAIL
+
+Count = 1
+Key = 8d7db520bf88c96d46778991a4f0b6de9aa7fd5d35cb6188a6f355499072af5c
+IV = 488a50706bfd8ec7fb4c508511bf4c897c8566ef289b5e58a4c59bcbf16b5ae85fbccaee4a1cc0d1ec74156ae911d36d497f5ee71f1fa51649819c9cb88cf65d62d2abb65d621c202bcb33d8d68018a858d04e79deb62b3486658730735a1c87829acb49e73301902c116c9b6ce110f23a6b1a4dd657e47a328e017c19f0ee52
+CT = 497e1a39ba1b38d263bcbf19cc2900ca4070ad37ec12bfdd30139a7068a889825eaac5012cb5c2dcc710a220cc658dcf069f60
+AAD =
+Tag = f20b9885
+FAIL
+
+Count = 2
+Key = 1ae1e42ee656973f5628e3cd11f0494dc8a563cbf5fbc5880cc2dc6d787bc9b9
+IV = 23e3c948cac6eba2ed11d667783557917f066ff6b93ab9409df9c7c84b27d26817dbdebb9fa9d0a64bbc572bfb2c7ef7f0c836528c9bd692505c8c5e522f57aecf6b479723449398e5b1f45cadd81264c5aca8059562d69deba26395034b4b01325d072dce92e540c159dba92d3e41e2d0947d873ad48f9f0b00f4807d420aac
+CT = 3839fae7008b88250b602cbdf295e932e3c4e3710d397a2b9a37289104efde75f73302b2820f14664c064e8dec45ae49a74036
+AAD =
+Tag = bce334cd
+FAIL
+
+Count = 3
+Key = 8af302bc8684cb91b4d7a6088cf8c94f9f6e027ba046c2b508956ba3c88f2d65
+IV = 3218736e931392e6510b91210a6a6a27680740ba8924062ea176048d6b42f44ed04a46ce31843b735ef4f63dd1d85643f28fb335d21fc2e3c673e97e6b845e363362d32844c9054a165f40658267bb177b74797a8828b1eea723d51b571d93748c758ea5c328103612b109e008f743f9505034ed3c42ab3dc310c20938f8627c
+CT = 1f1b133a1a7b58625fc77021f8ad1751bfa2b8addc0a9837dd5c44632cffe5ecc2e9e54b90cafb6cf8b652a8d2da116ecda3f5
+AAD =
+Tag = a673129d
+FAIL
+
+Count = 4
+Key = 13a7942b5a5cecb2bdc0e8b0348d4db5a98572544ee31918ea625b0691c10779
+IV = d92b4d05a549b296e18c90a8da55ec5bff3547a679697c489a1d49dc02bfe2dd85c8f050b32c389c4f857eb4b663f53354bcfe9c3a7e30019f2e3994421bcf3a3d1cc093768eed71bad5139f3f3078514d80a4a41d1284b5dc43ce07efac9c475d6ba2acb66dee50cdc62c463a05ca396e72d189f50d44ffb70d2c6112c6ef0e
+CT = afe058cf694d64706302b405243db77c7ae2fe4f33c6427416f8992ba92754c69d4e7c1a89e9b6987f2bc0a7b568dca9c9d273
+AAD =
+Tag = e0bfbdb0
+PT = d544d114e3d9ab8aa2b9ec588a112f780a6df74d637be3cd34fdefe14506f26281cacd2b98c26fc4adff837a7bd72173b962a2
+
+Count = 5
+Key = 7272e6ca6d6d76c483df9a55c6d07bd54fd8fad50b529ed52154959acf01b64a
+IV = 5c55bb8f4fe797ce34c0e281c3b04ba0bce8689493451ea569ba8cbacc74ea36ccf319776f77cb4d7f901fd0ff23cd28ff0ca77ad9d4adb0329fb68a60ff004a1c5b12111d2dd705ab1f7734178f14dbb356cfc0c5c208b91c277235f35afe8c2d46ebf43bd5e0a653e67e0c086ebcfca32a56d56dd5f810f562f769cce2794c
+CT = 7f378bc30cf2774f21078f42b5d6b66aa355c8c073d3a70f06775f3c7e5948539ec08a2cc50cae6f2ad9680ba47bac190c3068
+AAD =
+Tag = e612f4b2
+FAIL
+
+Count = 6
+Key = 82b1d2ffb53fc79f5ef88742a28eabcf404074836fe28b5b202ce7d5c68f6ebe
+IV = 33f834fe23b9639d30de763faf7c1a71568c5dea9d5d253f28723ccb3306a3cac3cac3beca638067a3485ff743b5133577633ec88dae0aec4fec08e894ab5d61c411f0939772df2fa66d5775f74b3ff36ee61695d7cd2726b9be4df80750011477705948b1276db0cafede5d7ac73ccdf01b73a5492a02c43b89632a501f6694
+CT = d9d92b33a10f4252fff828b57ca5f5f118885df0825be80ea5725a874b7e8721af40bd221e7f5c2c8b005d77af6266cd36ddd2
+AAD =
+Tag = 86e48fa3
+FAIL
+
+Count = 7
+Key = 5264831eaebdde1eadf741dbfd585cb0ef6437d1365bd5848d9cb3a22f57d420
+IV = ede74a8f53eac5dac276bc72518255831b616c9fb50a617eacdcdfa50e197d2941004f785f00f8c600e239cda77c8c06088793a674efb8759c98604dc0143e06665dc7e21d5031fd4751a7cd1b947304645e0987ec7e765db80a743122fbcaef9ec83849e8eee8d011dab67fb54317caddcfc472f585e93df91b1edce9695908
+CT = 9ad126b39dc2066542dd30c8fe81cd750b72123d74aa162113c6b0cf10a9cdb217d921e8f03b400f1ff719fc704f44e26ad463
+AAD =
+Tag = 5d7bed4e
+FAIL
+
+Count = 8
+Key = 6c2a43ce5610eab9dc40f43f035f7eed6651789dfdd166d4f106c95cef2a67ec
+IV = 60e3a8ddb899108c11550a461720bdbf9adef26c300f098c73c3767621b06eac4f5619b9855d96e4d972ddd38f4538f8e25b7524b46c6341e8780e22c3b42ccf43f41fddfc5680432b64fb4025b378204045bb2d7ea56f4340a4018a4c99eb8b91012b28024d1b2bdb603fa10a28130e84bce38384fbb7c43548c0072c5c657d
+CT = e073e948ddfc414948b12b4540d43dfeb9cbfa525b3cacccd21da89ecfb254c840722b9179057cb3ee69358f05e4ad0e41a543
+AAD =
+Tag = ac0497a5
+FAIL
+
+Count = 9
+Key = 7c36a9bb3033bc6f7395155eadf0e07c8e5b3441d0ad66b21625d4950760386c
+IV = c8393fb1d80ce92801a4fd906a568f7f404a82b02096e859e70e46d1ca5e231a073c5acbaa4cb4c33581e6887c402753bd55f95c76e68bfcbb1cb21bd37ab7a226e03d03e9dca6589c3020f5f916c50676e8c387f9b1710579a728ba7e7b60955ee5e383bb75d2b9d0f2abc72c02edd925bb32dc5a994f032e9a856931eb1ca3
+CT = 559b2ff3f5fd147b9889146f9fdea6758e5e0c716395cf1caf577dc2707764833099bda0910626c62bbb1ca010b66c54114982
+AAD =
+Tag = cd2ed4fc
+PT = 178745b297a23a897ec5cfe3a9e373befbdb840d9eb657885ad0423628c4a18f934e6fb57974a52436c517f4463cc5f9370c54
+
+Count = 10
+Key = 981afbf7e7b74f08d186616d1f71b682bccc3cff6c5560696d267ad455d111f6
+IV = a2d07ac3ef29978c44ebbd83e1ad330a8fcfad8213fe2e924390015bc966a944a0a76831189a011094ec4ef98535efeb56b871e7e1aa36748e639dd5f9d1bf3286a1b2965bfc029faa0f855622c30cad67331bd11dbcea51e397185cbc4f0f0341fd8e744d2f09b2e3c2bd03af15850dbe2a701855ed4247f97acf9754f5e4f9
+CT = cbb1f9a5bd84c4b1b8df2714f87db878f7d2658cc7c37f75d784e2157687398a391ecdfd1119e087bd12f6af79db50ae7711bc
+AAD =
+Tag = ad794c97
+PT = 06ea96ad8e6044978ea676056df8c647b7bdfce3923750983cdca875089841612737e6fe078496d77906b9606532b309851cdd
+
+Count = 11
+Key = 03183678896e28b84e16ac41ebb14f4f436efe386ee6df4e8ad2a7aaf11f17d6
+IV = 718ec99fa1b9b1d29a06ca3973d9c0323b14a2cc34cfa2816481aa2da97b435b0a075a2ed6412bb482bea23df9deddd16944492b1756c65138c3d189b8d2d695150667f46edce88755e868a2d90bf13f170d9b6bb29d9210f3c9f507663756866ede0b362aa5c859e15cd96da4f8c7f7852b3924bdf35ff3a515ba5150e1b017
+CT = 6ecd41a492ae5d6295e9c18290c9a36999c79c87f8b69ff20cb42ccb7c6678baaf159c75ecfb15cb87db99a3236734001545d2
+AAD =
+Tag = cad99689
+FAIL
+
+Count = 12
+Key = 2ca8b01d1cbb8d392bae40bd8a51205a9020be27a23533da51dfe1ad0c4c1d41
+IV = 5b5edcc2f17942afb9577c3d2ed7d5ecaf009ac3ebac985fcf1e0fac0dfdfe747fdfe3d05795337baf41cea3b26e4f35caee1c13fc52d1192da145f376b4ea810ce7dc94845a9ca9184203c3b8e803e7a9bfcbf4a310c85b28b04a007e8e9bd14ff0ae28a1966918a6e22ae8415334e7df0d530b0507a24f755f70f117581820
+CT = c420656fb66e89d5b10fbe3ec0929286683ddc4a34cbaca638493f5c09673609814127709b6b1bb765902f6857761a8d57d98f
+AAD =
+Tag = 23f1dc74
+FAIL
+
+Count = 13
+Key = 25cb38a4b7ff73bb632ecae5f75d46e45a108ffaf3ec2d6ad39d3af4b3c64ca5
+IV = 372510e18f877e0f74c1cc54b19d265b27a452cbe91339bb720aa1bdfaf9bbe5365c571ce8f01d2e96aef8bf089c3f4402f186213be72b46b200337c9ebf943bf3d2db1f68c8e655534d9198825737e623745c26f6b0a82585660a7cc3985a271dea9b20f93653701a8d383bbf3155864809decc03ffefc9ce018379d12d8bfc
+CT = ea01ae67abee8f8552ad260ca9d08ea5b35b53667a3455718545e007e5ac0c62c1ff0c5b06f8c031079fce5f2367889a6a068e
+AAD =
+Tag = c6a365f1
+PT = 3bc70116886ed9b4ef795e45c6ec8ea65f6285b3449174f89ceb1294ea73dae9b2f037107f57355be7242abb7da818c98d2755
+
+Count = 14
+Key = 19bb98022f5d140cdbb5b1c02aae8eeec1e96dc6eb489d70967588b6f414330a
+IV = 6d7b41c7f949f8ff3e9e18ff7af3d67eff5ddaa62eefdbc0b0a49dfb6fb07582998250d1c8e609d57510c859333a268f7e89bca06adf1646cdeb2e592bc86769aba402410cbd71f572dbe065beb37d8766ac61c12e7ac322d213407e073d4bb3c28848c42959cab21f9e39d7f4ff8debd50f40bfff96cbf81af07fbffb6bb2b0
+CT = 60a77e3d27fcea5e505221382d82e9ee39c2bfaa01d7d6ce0d293e7fc7bd0d7f900afa9a7f080c33c04cedd76573a914409e39
+AAD =
+Tag = b561ee30
+FAIL
diff --git a/src/test/crypto/gcmEncryptExtIV128.rsp b/src/test/crypto/gcmEncryptExtIV128.rsp
new file mode 100644
index 0000000000..69c74ca6c5
--- /dev/null
+++ b/src/test/crypto/gcmEncryptExtIV128.rsp
@@ -0,0 +1,129 @@
+# CAVS 14.0
+# GCM Encrypt with keysize 128 test information
+# Generated on Fri Aug 31 11:23:06 2012
+
+[Keylen = 128]
+[IVlen = 1024]
+[PTlen = 408]
+[AADlen = 0]
+[Taglen = 32]
+
+Count = 0
+Key = f8fe56171fa546a34b1b28e0b1d31cfb
+IV = 960d57f1336271e069c12f11044dd5a5bea996fc0290d37b5b2f47c8df3ae3ee37214a6871d963b830aec266026364984cfe31eb88c2a6229f5594ca9d3b6d26c7fadb91a0282cdd0a321714b745dd5e161e7cd192420cf2eacd552c4df5cee8fb5f0e06b7c353017b4b9523ce56899db770c344da720327817ba823a8f71382
+PT = fd229158f18f5b8c2a96c86fa3d8084014660eb2314bbab4ca09fa72c3a98b6faa2ebb83a1809de9ccbc8973d23af34014fb27
+AAD =
+CT = 4dc0fd07c86ec84c264f0544456bfee14f688af2109455d73aa1e58a3354727e05387c94568edf352f8342a6156c64d87c44d7
+Tag = ac350afd
+
+Count = 1
+Key = 803007b69146363999afad4433c0f3b5
+IV = 2fc7688faf0b3783094294526ac07c38a73ff961ab41f20deb66edcabfe68e094aa0f1fc52318706a0e2f9b3901a768346494e846cf17b662d05a3788d77c1468408a49ffe5c0cf68b3b8b26193dfd84c63c4631eebf0c7974283e05e39494d9aaad038018a6e999912b1f92681375214e634f5937cb32ccc4face42d013980c
+PT = bb311134866deba57fe506445c5a312ea1ba1ba16469731c1647c6a482bc84fa8349d82bbd01d3edb6cfe8f25b37ff8ec9d621
+AAD =
+CT = aa1d6ae4151aaec1030a6f0297c48e67b84d1c397e9eaf0c5c8c3d252bf8638bf8591342c5c20c7f88f41140b0334f55cb7b04
+Tag = 30076c5b
+
+Count = 2
+Key = bfb96f58535443205ce281e03bdc5c38
+IV = 3961f47e9e800f1c72526d73fe372cd6e69a7eb1d2692c58bf4297bb05503edf95e074a7cf2644981f72421f229d93866a6e1fcf5c13953b39bf36b56fcbd4c09b505e550b5ba0e9bc26efbe0b9621a47b81842caa8c945fa5bb606f0dab824a4bb5a2625668a916e47f0a0d8a995bcae6940e120724f6d53629545da5456008
+PT = 2c07d76ceac2a77809906bebd3452e2f898ea5467d47be1f17573b3f7fc7d11c9b868d1d1a24010b63dabe9c6c6b4e123df559
+AAD =
+CT = ca443acf08d121e1ae4221013ec40dca2237d035e89ae67040602132972417e07a7c770d75d96fbb5b8a38e048abb15bb978d2
+Tag = f61f75ee
+
+Count = 3
+Key = f3a44f15d104f81b4bb263eecf806737
+IV = bbf1b0646991c2b9735066dad5860fcc08a6b92944a5e90dfb120acf2a75403d3175f5e61a1d84b89a0c1bdd3b3414450faf6ffb8820ab1ea01a2b3cc05f1cd1de9bd48ee1308ddc7d87e6db33d3a171e7f63fce6b8e0417359afa833f6b5f293195bedf444ac56103ee0c8706a69c08fe59a95c8474f28a4a12661905f8781c
+PT = 62d05ea0b0ddff1c0418b01a21267230ebbf23b63a6c14caa769c9148150c2454c055cbe4a72a08e7cd8dcb456e1ec17bc3a63
+AAD =
+CT = df08c4d223a168d4dea9445f5b88d40ef0a796de3e77a6a116bfed840ccbe7b988345d070640f62f5757878420b5c50dd9f567
+Tag = 1518c2d1
+
+Count = 4
+Key = ccd58a6017ac344ce5f8ebebdbe03593
+IV = b2c53f013021f494f6637876f62ce5b5dec6d548ffe58d0952aa8fd8fd5c8d2b835165e1b0ca01e72c19f962e38cd4458229a3415d7b4f9afddf5bb63215999b750c07a080677ba4e40f6c5e42038882503c9923a6eb2cf0d3b82f9f94e624f9938830fc22430f16f6c93c362cb3c11cb05d63becdb4c572f03431e7108369c2
+PT = 0b89a455a2470b3b2b7e04afac15c45a0742061494b78f88c57f2505e1f5804f35c0a829f8b6443e427fb6ecd374642217b6f7
+AAD =
+CT = a8b6203b914391c61dbc123efc6902b892107ea9724341a22ecdd0deb16c48d885d606f68724cb43a956c07ef9ef654c042906
+Tag = 02aeaa63
+
+Count = 5
+Key = 50bcf114df40a431c0e1e88033154a25
+IV = 0ffcd9b14c6bf5f630c86b41cb3cf96004f3fa4fd48ee87b7235d34be0be1fdddeaa79abb3c0c9198a1eea0ccf04e8cfc8d24e4badbf438c59a70b435fbf07d44f55b75e5e48fa0f3d7714aaf9e34b430640614646d0008014ad432a464a252c66584c922b29a90cb2c2e4237c8545f913cd2ed3910a4f075062a55b71228411
+PT = 9f5206b2afe824ac4303d58a97255dea6f026b8531651105db9695f09acb16afd9488928060219307fd41edc16e49f01b7d646
+AAD =
+CT = 0143c0a035ce29d1418acb2561dfe88c74f24a9808a8672427797cc0ba01693c2d66c0e365961cfd58fd039bf08fb4c2b1be29
+Tag = 552e27c7
+
+Count = 6
+Key = 8dbf11f923374b8e8be93788de939806
+IV = 2fcb130962ba3e3eb8e31a7a26e2082a643f39d67cce11d8b2ba8a782f63d4df375b21b1fedaf67bd8d73b2208937ae941afc99420ebbe328214fe6a456bf00979d5ebfb22b79fd3cdea81056747bf4e4ded33f2f26f2d228965128a3d0a32696db44e4aff6ca5467d3c749830a5d2e9a41b4ffa3a422e5bb870cee84f4b64af
+PT = 1c57186740c4901e022e63b2e7b085f9cb60c83763e357a591c1968277920ade1987334e88ed9c3c96665e37fe492a975153d0
+AAD =
+CT = ce4c7e5fb87ed02424a13cd2cfcfaacf67f1072198dedc594db26d6453991821861ba6cc843c6d2750e846e162415123b7e01e
+Tag = ab10b040
+
+Count = 7
+Key = 6e88bed99ebe380c1f8297f46019d8a0
+IV = 80fb82c0016d054491f396a7722217b0a07bfd0fc954a7141bc1e2e7958cb24541a21492ec85d3c744489f93ae3abb9af101a78f2366226080389d29eef564d5205f377ab0902043bbf7ba64c30c9d2c945cd6f29654738106dd282194fa02344ec177b5547531061b31cebfac4a2b0f46b68e44c8c89f6942f9c9c13e50c58e
+PT = 6c90ea3dad3e172ae6784cf1b7c08fc04d0f9b4372f1103d11393a8f02e2f495b53c57cf46f1df6f55b2fdb184fd2b7d590402
+AAD =
+CT = f55d67b524b8e633019e9b1736f3db1a254e53cd71fecb48f2dceffa62256a0bfc3775f6506db52db6c6eb91971f5bb5688325
+Tag = b4585815
+
+Count = 8
+Key = 99de57ce03d1db62a751c3b2c7d38f3c
+IV = 2e74c283e216ab5ac9a1b214dd9280431d7ff942a17715fadc3a22978fa1ccc0743f969358baea3d79abe93388a7db82d82ad6a917bf67795fb4360543d7f22f7ee49f41029ebb87573ac03ddb7e279f1846f4a88b85bea63e2c9b9ecf6f91777434b3def0d4a42d3e025eb43a666a28d5f6c834c7e7991897bf051915e646c6
+PT = 72dc7e5533e862efe0d23c62095506b11c9b256d8d18d11511aa1ed4eae67b0017ec74e322f3a7a18e7d199e7093cadf26680a
+AAD =
+CT = af31d880d1820a35c9248ee0b1aa0da31339f90182e60451493bec8d4dec3baf922268741c2717831b8365bebf072aa7931ab4
+Tag = b1700396
+
+Count = 9
+Key = acdc98a8baa0f003c130ce196135334d
+IV = b7c9885d302842c41a2880b9382584806e8cb55b49183b80bc50403c82cfaf0d28a00fef813ba5b7e35b80dc1f0b7c3b0669a3bc739f499d77ed9cc47a467ca62fc34c5bf4c374ff396c01a472c3dfdab394e6926545a1c20363960c72dfad3eebf9a970e6579e3eff7a38f6bcf0373a8494d450d12445f9ff62c233dc1d2379
+PT = 30f1c7fb5fc152dad6911623ca4af1eb495e108ed94b6e6cc19eabeaa7b85262ea3cc4dc5297aa6f7cf504ac6e07db5db550e6
+AAD =
+CT = b2cbae4df8898ca223213824a5c08e16eda81f063916e813bf2d0d8c7e8a75b2d0a9f6de91e08d5422970534331cf1dd53fa8e
+Tag = 8ef08260
+
+Count = 10
+Key = 75d651a377ccdc0e743d73b8205fb38c
+IV = c7296796ef031d372284f7b1481a13862aec243792ca73f40e11bfe39da28984f11d591d3294c833babf05a1f19b603f4f4a9ca1102f201c1405b6cb45facc8ef408541963abcafa907b2eb8e5c1c404b0e4884a48bbb2d43add4dc1c44c526295bcfbd8f2b7041ed49189e835cdf4ed00dcbb450eef4070482f5e8b52360966
+PT = 13ab743d9db511857f0f79a84742c225b3692a9aee8a63697d42fe50d74fe028ccf95e18a2dd2d9b778392ee7a5d2f23b399eb
+AAD =
+CT = 09c3f153ef712fcb3b5fca2b9bf7f25740fb748bec64bc35576ed01682030ae2728d4282140264819e8c4dedd48e29199a6236
+Tag = ae374dd4
+
+Count = 11
+Key = 15414fda594aa87a3e7af69df769adbf
+IV = 7f021a78293e7cb4dd0af221efda3149b0cab87241b597865267cbab5aad530ea4aa4b10815ba9318a45fcb22fd0e6d692d7beecc2042fa2791f6cca5f9916b0bbae79e9d91133aa54d15a1397f8b063695a3d36b8e573a866fc94964f39016e9490c37189cbb0638db09548a91688d73e2c0d4542f5bd08e03ac0d75e36f519
+PT = bc8263ccf50d0224d088546bc16e2577925567ca52d98ec45cb43b190159bbd5f0326d4498a8a88c0ea0b0a79420b906cd5115
+AAD =
+CT = 34b07942793b066b74b7fb8a4ce71a04f9b29e40dca351f5b6e0939bc2819cd95e69bd58163a4df9729e3d6220a6df60a4ba9e
+Tag = bcf4aed9
+
+Count = 12
+Key = 4d73cae96ded98e1688104a63f462c76
+IV = 331b51fd88cd4731e0eca051717b642f86ea6d6941f9a7331ff361e0edc3f9ea4c013d585f3eff70004a696c4b51d7c589ca97e5fd30f4b2f99c0f3ac83769c2397e10669b7b83aef714a2388638b8941efde8e631098dd78742772f484edd568fefe26b9d981b437e4e4f3ad25445e1aa8c8608c655a5090d2cac158ee67e98
+PT = bf55d48ae5015c39bb167782cab391510d7b7d698e9d3faacd7d409fe4d86fea0a6f61128b6aa305ac0fe4cee4d582dd30e717
+AAD =
+CT = 3cf29f4d50feac5cda4c7cef91d563b2573096b7f32c723355d8d59b8e1a0e229dc2f6114f1db6bdc26212043d153709597c1d
+Tag = 76fcb529
+
+Count = 13
+Key = 7045a9d7caae2c0a39f58998720974ec
+IV = a9028008f708ae19dd28e75a02c6e84a05096779781ce0a908047152208468cc4b2a57d25608767f936cf70fbe82dd8a61497a180e1fc967caf4e6310ed850082e6919c922e021ec070dc64b040ed9edbbf5883676630d69e48953068b2bd006bd6d5417038604ee5aed04980c9ed2316c531ce6a3a73dfad90c04c58596d5e9
+PT = 635b946047c38533bb2cb4c9799b44f6eae0e63626901b0741f6dcf3c2bb02270343c7708a72dfe303b20f7805cb732386b341
+AAD =
+CT = aebb8c1e914ea9bc1ada9b01f84cc8dbbc611f2cd386d5fc89497d37e5a469b28fe2fdf0ab0f1c882dcce50620b1b18a2d8343
+Tag = 27bcaf06
+
+Count = 14
+Key = 79d2a35efbf03f57b66e875c232e10d5
+IV = 7cc96b48afff401adf4bab2ebedd021377b18a819f3c3af39fda42e24c5d62e67ec30f8bcab00263dc5a9bb06cbfe1750c98555901d34d775fdcc86841bd08fbeb44ba68ee794dc351a29a1a9de576d83c17a730d50db79cab88d538a441bb9ff6aa073a2a976de820ab5cc61f834753220d4e472a275dcd13db3e51a23a84a5
+PT = d91e1b2811b3e3894b46c563e6ea0b4a33990ba4fce8a354c941e1effc5691671de5d97c4c1a35e3730b43584944695f00544a
+AAD =
+CT = 6a45beb05c0dba6c38c997f8c37ef07c7cf78eacff6ff4dd6fa000e745e8053d2d270a746994f29c8628f41fc7fecdac158655
+Tag = 36caee75
diff --git a/src/test/crypto/gcmEncryptExtIV256.rsp b/src/test/crypto/gcmEncryptExtIV256.rsp
new file mode 100644
index 0000000000..3faa8956bb
--- /dev/null
+++ b/src/test/crypto/gcmEncryptExtIV256.rsp
@@ -0,0 +1,129 @@
+# CAVS 14.0
+# GCM Encrypt with keysize 256 test information
+# Generated on Fri Aug 31 11:26:26 2012
+
+[Keylen = 256]
+[IVlen = 1024]
+[PTlen = 408]
+[AADlen = 0]
+[Taglen = 32]
+
+Count = 0
+Key = 0df25c2bc9444b4a01e26d357a3ac0635fb6ff2e65ce1e759aae491a17772243
+IV = 54652573ba189cffed3bcfa60efbfb417eb4b0e8de80c7e53765d018cbddfae74617269eb35f29faf628d28c40737f9d9e1eb0b8757c984d94340ecc5ddd108f0a5a0e96335ea805950d378fea7569b98693e88bc1cfd9f6eb8d25de177122fc774a5b1957bcb80e92230c12fe401a8e00d0c04897e234644bda36ae761ea619
+PT = b29af460c6a5dbe56f1d67751346d7182c93413a6c328c6d85176cd8dea8ecce1cad3063c8708c0be9ae73d42bbb10421e73f1
+AAD =
+CT = 3c786a3d0c8945bf320a21ca63f3b8bf5c6bf56a8412f836d7894e42c9e0695a8e41bf59b23fc52d17f8b341183f1cdce02e22
+Tag = 0b31bffe
+
+Count = 1
+Key = 1b6b7b8d00e543f0a17bd0bf595319a4a1f8a55ff41ce2380381d4e83c83243b
+IV = 791d9546f180b838b50bb7b66b68f7f1aa09a2cef411a1dbf2e64c5ed026613200ac8f0e5b961925853621a1d4339322ea4b7bbc4adcbc008efeaaee0dc948a916b22ff8693a7d441620d0ff67680b23567f9582e22eec529408c6d0a00de1bd1ee5a11ed7fa29b7567f990e412ce90ee12d5b1d8ba8c2b528d0d9963fdc49a5
+PT = 0a76090de676d71d9f5ee8511864f0c9440a0fa12b5155a5bffc36127bc957b293d4fb624af3b956385783124f28f6f3c0f0e8
+AAD =
+CT = fdaa9ef2c65d7666b61367f843863a3b273249192551b5633cfaf84a5ab9ecba42916395177f9a16c1ad385e77393cd93d71b3
+Tag = fd854d63
+
+Count = 2
+Key = 261a0382c739093634502303d60dd0d2a568b5155147d661e7789f7bd70de82c
+IV = e22330a2981b9b60354a740c49dcd17c9016cff50423977f7fc8500fc36a81610c979eb37a1f9c4d54d11b790906492205263178dca6d269a230a595ee95edeb60e45d92a2d6169877dfe5514b23db143dbcf3ca44e13cf5b7402e4f95a9e6760451be2d57d1d5fefb015ffe4b69456d87338865ee8775d1cce238f75c345dad
+PT = 42c8c79988c52bcf38865a6f341a5165294af0947bc4fa597c6f648a1172070851c4ee154604d9a21c8d53f7eba77fbb72cf2b
+AAD =
+CT = 0fb368563c6ad0c097207239a791bc685274d434c4a54cb0ea97a98b4cee9eb100c4cd626ba82c338a3f51cb29391b1da3a44f
+Tag = a9607e42
+
+Count = 3
+Key = 5f3d6b5c76cb7ad0be3d771f1f7d1bafd88c8c7c7c84922f89f45f3b7453eb44
+IV = 7072d302e4acb642090c5d48e4549a8823725be1389316df0152e68c41f77937eadc4ee1d164101717cdcdd3bc9be3c2669c0b1394953090ac787fb117500b6275122f608e70a3f5063b21fae42ca4b00724b21c50e27c37a77d4befb118018ada7999888442e1271410f6b804c36a27a41e95a438792de4f06fd7122b177cc3
+PT = 00d82cc00c07d3cf0fd9b31ddc091d351aab9b58af07d2c59f3e28c7202ef6e3ec35726cbdd14f8f1985a770d092470f115be7
+AAD =
+CT = 0aab0dbb31c113b33b116659294e0af5497c987af870ae8ce55288d48e8a4f1b3e8377cb34d06460daf3cc99fbefb90724a39f
+Tag = 26e56b13
+
+Count = 4
+Key = 1d4b6b6ba43269d46ca5c0fab38b61f1d2bf3d24dae46181fac73420a8e6194f
+IV = 01c283a90c588dafc585f437dc111e94dd8ea98a622a5d2e554a87086ec10e8dac9b205fae70be3c024b3f9fbdc26208a6e44d082ad92a51a7fa1f861d0e93e7e74d4e41426e70b2e7ef7fbcbc5a302aed4bc8a42963ca53334259f1924e74225c3bf9aa2ffdf97a2be6474c72f6dedba7c454e36fbc3537596a63b61a4cf3ce
+PT = 4eb036d945c14de26c4e0c83d446dacb57e91b5bdec2ef612bbed8135e57ce62b28843fbac555580ef23c74959eb869a017872
+AAD =
+CT = 24d67f2e94294255b9fd90c16b67c7a8b3a47a42782954aa15e80ffe732d64342b1ec65aa66fc4d6b8fe9dfcdbf4d4c1a979e7
+Tag = 37358e86
+
+Count = 5
+Key = cbfbb15a4fae4af3de55ffcaa4b8cdbd515ecc72fd50060b22acc8fad57a5f4b
+IV = 86e47ba98d8ed360262f94afc364df373d1e44c788b4ee5ed7542822858aaeca2b3c07b5464d6f7edefca9759107bbb64c086d526cc4c9a6b9a7cd6dbb50acec2297597612fd436d8c8ddbc83664305b214cf2c3b6fab3e545c499c7f1cbba1897041475f94952d8a4fc10110986b5ccc7a10c1d9e6427dabba8d942ada9290a
+PT = 5470a60f2818ffef374be3cc591084096a4a8caa0dac0024c12d304382c301264526b02efb674dfbcc3be5c818a1d88a7c19f1
+AAD =
+CT = a6a8ebadfe5c5ac754e4a2a9cdc25fdf3588c69a287b0f9aba2347bfcdc110a1134426a45c62d577e52a8d61fae39ea38bad51
+Tag = 97406b4b
+
+Count = 6
+Key = 3ced5c63078a36f6b02d3bec0debacd19021c8dbc501a9d86f556c4ad2cdef8a
+IV = b9629801cba22f7493b4f6394620d49a76ec686e524f5ebcb3a76b5a189473484060cbb01bcbf10048427ef21527626085c8a75aa5264b6338abbc26171c2c3a44f6b3b5c3fd05a892c8290a8f99be962deea48d7ae4e626c45a45ffda5efaad6e54e98ba876b039a5dde3d6061f217e57da4774acfaf1f5da9495083aad4dad
+PT = c29788107799077ac6dbccad29a346727f263676a8510fbcadb9b5bf53df978b3382fdfc1b5c3312eaa0f7621b6efdaeebe1c0
+AAD =
+CT = 5811d4a96169b39cd8f8ff3f931efdda68550f17558b48de8bb5adf455af5179c8c5ff4a73f363f8819daf846427132daf6a17
+Tag = 06e8e7fa
+
+Count = 7
+Key = 39ae4fdfe56b74a71325a1a685a6593b44936892890cd05d2719a420c97a7c64
+IV = 8f110d0fd20ece7f35c35b2eed32316fd742ae9346fc6907bd749361a4436427f80185b376b16a36fb95429cfaf2e22e46c210442fe5efc14985a9d9d847c3ceb5db02e0d999acbc3ba0afdfecbfaf65024258cc7f6fc8e3f568cbedec1c7eabe3ff3ab3c7331722b6400429d46b54820bd1f88ac03cfba5cbd0812d91342c4b
+PT = 8b086d11be7ff55312addad86b49585ea38ea1ee7c4200964cd269a4bb5cfe0f518e6f9b733efb4ba3ce35ce2e803b0ad47d24
+AAD =
+CT = be46d6e61dc11b2fc8ac4c9c5f49ceca0fb6fe1fc7221c7cc5d8ba254a92282500b1b31528314035cd125578de960b3bafb69d
+Tag = 7c00aa14
+
+Count = 8
+Key = c244e9afd90ec810acb7e586cf7a06386e6892e01c7d111d5c1455fc95250d1b
+IV = 6ff9103f9751ff4743d856c5cd54491e1a537384260fbfe076f772ad0d66ff6ddd0aaff57023885b0a4d60d2b25c80b1cdc54802607770a61a2503c23cf26f1fe529573c8d4745b19dedaff5769a6a796c01540776d4fa99be9057ad87cdc973e7938640f9497753e88c4cdc358c1cfa06f1ddd826c33f44c55e2d183927baaa
+PT = cd1296133cefe6f5cf6f8ec68b37172bfb793a8582d92a539f24f3582569bfcfebb706fe9f276716b185558fbfd6fe8ea99a1b
+AAD =
+CT = dd1694b178f15612c454885b3100c576c7b68206c57898161d4fdc51e75a428840c5cfee104c3d85fcbd92edbd1d80f22d8e64
+Tag = 741953f5
+
+Count = 9
+Key = 785ea9cd2403ecaeec3e4940dce7c41ec012203a2610c780bca5d15af64748c5
+IV = fbc177ec9d47f69e2fcaba9fef7de30735e46a5d20dc66bf66c8a76a382051d780f58dccae8e2054bbe437a5bc0814381bac2b0efa99202aa1f1bf7f51b842907dc9b60f83987c31eae086e26e2018243bdd47a291b523ac6905b40dfb442ba239c876cdfaa581b2ef0683456ac944829a97b663ecd48c116d06f1f054ddfcdb
+PT = a3465ad9a4009e26c39acb1d424b7ba6556a74dcc2b78a5ab65b5d07c2a97f382aadb7415395fa6fc90bd137f6894a75f70907
+AAD =
+CT = 2b3eb5ab251282da1795a25f9b43ccaa5a27643d042fc315ad662947b0c5cddeb5848e6c69869ae5e81f5c76729bbaceda9889
+Tag = 64173526
+
+Count = 10
+Key = 0becf9c7a069db5b9a25f2871fb0594e452126262ec1c48bca3d3024d85d0c51
+IV = e05643a72ab0b1fc42a6f17302d6446fc507bbb4f0ad59178f5084530f02534df2e673e92e67802629f93221bba545a13fb9143eb2a2ee4bce047be621a9d96a450a19951d93c527eb698ac7e132e4f00985dff91e079ae791549d37da3105c77ef5d8cb7649f1aa761b5a5fbc9e0d7dfb5aade98f3df4a641cca02f33eed55c
+PT = 70ba9822801760e5ec647a41e27cf6069978be6a28be0b1da0f3661e124847823dec7ec6af737d6dea597ce5bd5baa5d6f2651
+AAD =
+CT = 0d45b5ad77226524374a3bca3680528787cefd9978b3f1407688886ce28fea86e7d9005d7d6acde2a7c2fb158479918c06bba4
+Tag = 43dfd859
+
+Count = 11
+Key = d1f374702b4481b83e7c7783853c1850e887b0c80cd28c0686b4cab6adc744c2
+IV = 5e15c44cef36c1c89e02b2979f4e7d275fe5973a80580753f6fd51ea477ba84346a030b90b22a9adfff02096bc0b1691c37ee21cdc1b5f4862696d195859cd2bf0b423f5d19da5e1475bcc99f96b8c7c51fe85930aea0e97304d4c025b52bd386666d0537036360e939a6fbdfd6ce3b012e551d333fa74f3cbb9d33a59477364
+PT = 996428a232b1b9ac81ff5260eb77938f0d531a4a0ed3bd774c72c18128af72e964f8d05fb7ec4e0ac8e37056a48c85713a3a01
+AAD =
+CT = aa9c103ae51bf556f7c57f9948d28c859f458a74e22f039fea183e9e262b023bdac9bb5a2f167b34cde4a694c555eb0c905f34
+Tag = d1ed9cf0
+
+Count = 12
+Key = a6a69524d66f015b4afb746ad0942410baf06d1aba18ef1a8b40e35633f04ce1
+IV = 5e1df758c63728b1269a1d3f610b6e3724bc7ff797dcb4a7aca9dfe1c8e1717ce4281d1c5b4b33d0aafcee342a4f4eb30089eeab2b0470d3f9b709622bde4654d41b3bbc6bf59c11edea28f26b099d83d4fefdc63ab7218221238fe1c230b1290235465b445f60eaa9822eaa8da2c08f6f2fdaaef87dacf74c7e5d6cea191c74
+PT = 0ffc6c3090817fc1a0e6f3802269e263e40d17772fabf5cbee905962878d77c8bc4223e5671bd9f310d8db56ceaebae41fc79e
+AAD =
+CT = f24537db3fe27eb07f1d2b9b7059dfae97df86d4e609930491c4ec3154462df308ba1c85204dd754521d8de9619603f90f8c44
+Tag = 360adc36
+
+Count = 13
+Key = ff0007317f9ecc43c1601708614eb8d443a407318cbf3c085c0a9a7c67faafa8
+IV = 8186f92bd394ecfbf4bcbb9e7e442bd6faa1e59f8785d9aec82551fee38aa10212a8477be3055927379a906902c153598d50c63e316c4e4f3956ef04ce40e5b6f1901fb5d08a23b913e5ad53512b02bb75ce96f8c50a2cebdfa058ded996fe1dc5370ee50c6d90e948129d544dc89c2f28dda8429bb338d6aed0d9557f96889e
+PT = e7f4063319fd31e07192a5fc9e486fc0a2a3470671a46356ab0d32989803259c0dae103a4033c533fbde585866fc2af5eba151
+AAD =
+CT = 8f86644614e4f6483f28eec02fab33e7cbbd56381a8f878522c2015b91d48652472e356f608c62361939dc983e1cd364a28665
+Tag = 83335b3a
+
+Count = 14
+Key = 43646d9ddebec23447febe71596e6f9b2387965db1faf3f06feec8bc5c808342
+IV = 0d3774607261b07427dc77f0dcf57b026226dbd2c1df1b9d74598582da44c677af36a6bd80b6bc1f000632c84c5dfa701f8b51b4da228d340d8b4ccc4d2f5d7b5fad00809133eae9250ecd18d7a8741bb57c394396feb81c20bec23de8520f883b8e22b362dde6e6bd9dad73e8919695384a04c09a28bdb6de2fa356b0d259b1
+PT = 2aab9a484b817b759bd9d876967c90160a18208cfa753e7bccd4f73a715aaa6acc6ce666e97bc22fbcf11f263dfed332418707
+AAD =
+CT = dd80974e31ad15ba26ec8a8dacfa5f57f0bc69f7113cc6c39fb038ddce37ffeee3f789a02cd86b0418fe16ca104b5fbdb26432
+Tag = 75c35f4c
diff --git a/src/test/crypto/t/001_testcrypto.pl b/src/test/crypto/t/001_testcrypto.pl
new file mode 100644
index 0000000000..586a37c5bd
--- /dev/null
+++ b/src/test/crypto/t/001_testcrypto.pl
@@ -0,0 +1,137 @@
+# Reads and parses .rsp files and runs them through testcrypto
+#
+# Test vectors downloaded from:
+#
+# https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program/cavp-testing-block-cipher-modes
+#
+# Specifically GCM Test Vectors (SP 800-38D):
+#
+# https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/mac/gcmtestvectors.zip
+#
+# Note that the AADlen > 0 cases were removed from our set, since we don't support that and
+# the test code will just skip them currently, and we also don't bother testing 192-bit,
+# but one could download the full set and run all of the files through if they wished and
+# all should pass (they did when this test suite was written originally).
+
+use strict;
+use warnings;
+use TestLib;
+use Test::More;
+
+if ($ENV{with_ssl} eq 'openssl')
+{
+ plan tests => 56;
+}
+else
+{
+ plan skip_all => 'SSL not supported by this build';
+}
+
+
+# XXX add CTR tests here
+
+my $algo = "AES-GCM";
+my @rspfiles = (
+ "gcmDecrypt128.rsp", "gcmDecrypt256.rsp",
+ "gcmEncryptExtIV128.rsp", "gcmEncryptExtIV256.rsp");
+
+note "running tests";
+
+foreach my $rspfile (@rspfiles)
+{
+ open(my $in_rspfile, '<', $rspfile) || die;
+ my %testrun;
+ my %lengths;
+
+ while (my $line = <$in_rspfile>)
+ {
+
+ chomp($line);
+
+ # Remove CR, if it's there.
+ $line =~ s/\r$//;
+
+ # Skip comments
+ if ($line =~ /^[[:space:]]*#/) { next; }
+
+ # If we hit a blank, time to run a test
+ if ($line =~ /^[[:space:]]*$/)
+ {
+ if (%testrun)
+ {
+ my @testargs;
+
+ # Set up the command to run
+ push(@testargs, ("$ENV{TESTDIR}/testcrypto", '-a', $algo));
+
+ if ($testrun{'Key'})
+ {
+ push(@testargs, ('-k', $testrun{'Key'}));
+ }
+
+ if ($testrun{'IV'})
+ {
+ push(@testargs, ('-i', $testrun{'IV'}));
+ }
+
+ if ($testrun{'CT'})
+ {
+ push(@testargs, ('-c', $testrun{'CT'}));
+ }
+
+ if ($testrun{'AAD'})
+ {
+ # Don't currently support AAD
+ undef(%testrun);
+ next;
+ }
+
+ if ($testrun{'Tag'})
+ {
+ push(@testargs, ('-t', $testrun{'Tag'}));
+ }
+
+ if ($testrun{'PT'})
+ {
+ push(@testargs, ('-p', $testrun{'PT'}));
+ }
+
+ if ($testrun{fail})
+ {
+ command_exit_is(\@testargs, 1,
+ "Run $testrun{Count} of Keylen: $lengths{Keylen}, IVlen: $lengths{IVlen}, PTlen: $lengths{PTlen}, AADlen: $lengths{AADlen}, Taglen: $lengths{Taglen}"
+ );
+ }
+ else
+ {
+ command_ok(\@testargs,
+ "Run $testrun{Count} of Keylen: $lengths{Keylen}, IVlen: $lengths{IVlen}, PTlen: $lengths{PTlen}, AADlen: $lengths{AADlen}, Taglen: $lengths{Taglen}"
+ );
+ }
+ undef(%testrun);
+ undef(%lengths);
+ }
+ else
+ {
+ next;
+ }
+ }
+
+ # Grab length information, just to have.
+ if ($line =~ /^\[([A-Za-z]*) = ([0-9]*)]$/)
+ {
+ $lengths{$1} = $2;
+ next;
+ }
+
+ if ($line =~ /^([A-Za-z]*) = ([a-f0-9]*)$/)
+ {
+ $testrun{$1} = $2;
+ }
+
+ if ($line =~ /^FAIL$/)
+ {
+ $testrun{fail} = 1;
+ }
+ }
+}
diff --git a/src/test/crypto/t/002_testkwp.pl b/src/test/crypto/t/002_testkwp.pl
new file mode 100644
index 0000000000..25911cfd9f
--- /dev/null
+++ b/src/test/crypto/t/002_testkwp.pl
@@ -0,0 +1,126 @@
+# Reads and parses .rsp files and runs them through testcrypto
+#
+# (Partial) Test vectors downloaded from:
+#
+# https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program/cavp-testing-block-cipher-modes
+#
+# Specifically Key Wrap Test Vectors (SP 800-38F):
+#
+# https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/mac/kwtestvectors.zip
+#
+# We don't include the 192-bit tests, though they all worked when this test suite was written.
+# We also don't include the _inv tests as those aren't supported in OpenSSL yet.
+
+use strict;
+use warnings;
+use TestLib;
+use Test::More;
+
+if ($ENV{with_ssl} eq 'openssl')
+{
+ plan tests => 20;
+}
+else
+{
+ plan skip_all => 'SSL not supported by this build';
+}
+
+
+my $algo;
+# my @txtfiles = ("KWP_AD_128.txt", "KWP_AD_192.txt", "KWP_AD_256.txt", "KWP_AE_128.txt", "KWP_AE_192.txt", "KWP_AE_256.txt");
+my @txtfiles =
+ ("KWP_AD_128.txt", "KWP_AD_256.txt", "KWP_AE_128.txt", "KWP_AE_256.txt");
+
+note "running tests";
+
+foreach my $txtfile (@txtfiles)
+{
+ open(my $in_txtfile, '<', $txtfile) || die;
+ my %testrun;
+ my %lengths;
+
+ if ($txtfile =~ /^KWP_/)
+ {
+ $algo = 'AES-KWP';
+ }
+
+ while (my $line = <$in_txtfile>)
+ {
+
+ chomp($line);
+
+ # Remove CR, if it's there.
+ $line =~ s/\r$//;
+
+ # Skip comments
+ if ($line =~ /^[[:space:]]*#/) { next; }
+
+ # If we hit a blank, time to run a test
+ if ($line =~ /^[[:space:]]*$/)
+ {
+ if (%testrun)
+ {
+ my @testargs;
+
+ # Set up the command to run
+ push(@testargs, ("$ENV{TESTDIR}/testcrypto", '-a', $algo));
+
+ if ($testrun{'K'})
+ {
+ push(@testargs, ('-k', $testrun{'K'}));
+ }
+
+ if ($testrun{'C'})
+ {
+ push(@testargs, ('-c', $testrun{'C'}));
+ }
+
+ if ($testrun{'P'})
+ {
+ push(@testargs, ('-p', $testrun{'P'}));
+ }
+
+ if ($testrun{fail})
+ {
+ command_exit_is(\@testargs, 1,
+ "Run $testrun{COUNT} of Plaintext Length: $lengths{'PLAINTEXT LENGTH'}"
+ );
+ }
+ else
+ {
+ command_ok(\@testargs,
+ "Run $testrun{COUNT} of Plaintext Length: $lengths{'PLAINTEXT LENGTH'}"
+ );
+ }
+ undef(%testrun);
+ undef(%lengths);
+ }
+ else
+ {
+ next;
+ }
+ }
+
+ # Grab length information, just to have.
+ if ($line =~ /^\[([A-Za-z ]*) = ([0-9]*)]$/)
+ {
+ $lengths{$1} = $2;
+ next;
+ }
+
+ if ($line =~ /^([A-Z]) = ([a-f0-9]*)$/)
+ {
+ $testrun{$1} = $2;
+ }
+
+ if ($line =~ /^COUNT = ([0-9]*)$/)
+ {
+ $testrun{COUNT} = $1;
+ }
+
+ if ($line =~ /^FAIL$/)
+ {
+ $testrun{fail} = 1;
+ }
+ }
+}
diff --git a/src/test/crypto/t/003_clusterkey.pl b/src/test/crypto/t/003_clusterkey.pl
new file mode 100644
index 0000000000..5b8a255ace
--- /dev/null
+++ b/src/test/crypto/t/003_clusterkey.pl
@@ -0,0 +1,93 @@
+# Test cluster file encryption key managment
+#
+
+use strict;
+use warnings;
+use PostgresNode;
+use TestLib;
+use Test::More;
+
+if ($ENV{with_ssl} eq 'openssl')
+{
+ plan tests => 6;
+}
+else
+{
+ plan skip_all => "tests cannot run without OpenSSL";
+}
+
+# generate two cluster file encryption keys of random hex digits
+my ($rand_hex, $rand_hex2);
+$rand_hex .= sprintf("%x", rand 16) for 1 .. 64;
+$rand_hex2 .= sprintf("%x", rand 16) for 1 .. 64;
+
+# initialize cluster using the first cluster key
+my $node = get_new_node('node');
+$node->init(
+ extra => [
+ '--file-encryption-method', 'AES256',
+ '--cluster-key-command', "echo $rand_hex"
+ ]);
+
+# Set wal_level to 'replica'; encryption can't use 'minimal'
+$node->append_conf('postgresql.conf', 'wal_level=replica');
+
+$node->start;
+
+# check encryption method
+my $file_encryption_method =
+ $node->safe_psql('postgres', 'SHOW file_encryption_method;');
+ok($file_encryption_method eq 'AES256', 'file_encryption_method is valid');
+
+# record pg_proc count
+my $old_pg_proc_count =
+ $node->safe_psql('postgres', 'SELECT COUNT(*) FROM pg_proc;');
+ok($old_pg_proc_count > 0, 'pg_proc count is valid');
+
+# create permanent table
+$node->safe_psql('postgres',
+ 'CREATE TABLE perm_table (x) AS SELECT * FROM generate_series(1, 100);');
+
+# create unlogged table
+# Non-permanent tables like unlogged tables use a special nonce bit, so test those here.
+$node->safe_psql('postgres',
+ 'CREATE UNLOGGED TABLE unlog_table (x) AS SELECT * FROM generate_series(1, 200);'
+);
+
+# We can run pg_alterckey and change the cluster_key_command here
+# without affecting the running server.
+system_or_bail(
+ 'pg_alterckey',
+ "echo $rand_hex",
+ "echo $rand_hex2",
+ $node->data_dir);
+
+$node->safe_psql('postgres',
+ "ALTER SYSTEM SET cluster_key_command TO 'echo $rand_hex2'");
+
+$node->stop;
+
+# start/stop with new cluster key
+$node->start;
+
+# check encryption method
+$file_encryption_method =
+ $node->safe_psql('postgres', 'SHOW file_encryption_method;');
+ok($file_encryption_method eq 'AES256', 'file_encryption_method is valid');
+
+# check pg_proc count
+my $new_pg_proc_count =
+ $node->safe_psql('postgres', 'SELECT COUNT(*) FROM pg_proc;');
+ok($new_pg_proc_count == $old_pg_proc_count, 'old/new pg_proc counts match');
+
+# check permanent table count
+my $perm_table_count =
+ $node->safe_psql('postgres', 'SELECT COUNT(*) FROM perm_table;');
+ok($perm_table_count == 100, 'perm_table_count count matches');
+
+# check unlogged table count
+my $unlog_table_count =
+ $node->safe_psql('postgres', 'SELECT COUNT(*) FROM unlog_table;');
+ok($unlog_table_count == 200, 'unlog_table_count count matches');
+
+$node->stop;
diff --git a/src/test/crypto/t/004_buffers.pl b/src/test/crypto/t/004_buffers.pl
new file mode 100644
index 0000000000..a1379b4772
--- /dev/null
+++ b/src/test/crypto/t/004_buffers.pl
@@ -0,0 +1,157 @@
+# Test cluster file encryption buffer management
+
+# This tests that an encrypted server actually encrypts the database
+# files. It does this by checking for strings in the database files in
+# both non-encrypted and encrypted clusters. We test a system table, a
+# permanent relation, and a unlogged/non-permanent table.
+# (Non-permanent relations use a special nonce bit, which is why we test
+# it here.)
+
+use strict;
+use warnings;
+use PostgresNode;
+use TestLib;
+use Test::More;
+
+if ($ENV{with_ssl} eq 'openssl')
+{
+ plan tests => 17;
+}
+else
+{
+ plan skip_all => "tests cannot run without OpenSSL";
+}
+
+my %file_match_count;
+
+sub get_cluster_file_contents
+{
+ my $node = shift();
+ my %relnode;
+
+ # get postgres database oid
+ my $postgres_db_oid = $node->safe_psql('postgres',
+ "SELECT oid FROM pg_database WHERE datname = 'postgres';");
+ ok($postgres_db_oid != 0, 'retrieving postgres database oid');
+
+ # get pg_proc relfilenode
+ $relnode{pg_proc} =
+ $node->safe_psql('postgres', "SELECT pg_relation_filenode('pg_proc');");
+ ok($relnode{pg_proc} != 0, 'retrieving pg_proc relfilenode');
+
+ # create permanent table
+ $node->safe_psql('postgres',
+ "CREATE TABLE perm_table (x) AS SELECT 'aaaaaaaa' FROM generate_series(1, 100);"
+ );
+
+ # get permanent table relfilenode
+ $relnode{perm} = $node->safe_psql('postgres',
+ "SELECT pg_relation_filenode('perm_table');");
+ ok($relnode{perm} != 0, 'retrieving permanent table relfilenode');
+
+ # create unlogged table
+ $node->safe_psql('postgres',
+ "CREATE UNLOGGED TABLE unlog_table (x) AS SELECT 'bbbbbbbb' FROM generate_series(1, 200);"
+ );
+
+ # get unlogged table relfilenode
+ $relnode{unlog} = $node->safe_psql('postgres',
+ "SELECT pg_relation_filenode('unlog_table');");
+ ok($relnode{unlog} != 0, 'retrieving unlogged table relfilenode');
+
+ my $file_contents =
+ slurp_file($node->basedir .
+ '/pgdata/base/' . $postgres_db_oid . '/' . $relnode{pg_proc});
+ # () converts to list context
+ $file_match_count{pg_proc} = () = $file_contents =~ m/pg_[a-z]{3,}/g;
+
+ $file_contents =
+ slurp_file($node->basedir .
+ '/pgdata/base/' . $postgres_db_oid . '/' . $relnode{perm});
+ $file_match_count{perm} = () = $file_contents =~ m/a{8,}/g;
+
+ $file_contents =
+ slurp_file($node->basedir .
+ '/pgdata/base/' . $postgres_db_oid . '/' . $relnode{unlog});
+ $file_match_count{unlog} = () = $file_contents =~ m/b{8,}/g;
+}
+
+#
+# Test with disabled encryption
+#
+
+# initialize cluster
+my $non_encrypted_node = get_new_node('non_encrypted_node');
+$non_encrypted_node->init();
+
+$non_encrypted_node->start;
+
+# check encryption is disabled
+my $file_encryption_method =
+ $non_encrypted_node->safe_psql('postgres', 'SHOW file_encryption_method;');
+ok($file_encryption_method eq '', 'file_encryption_method is valid');
+
+get_cluster_file_contents($non_encrypted_node);
+
+# record pg_proc count
+my $query_pg_proc_count = $non_encrypted_node->safe_psql('postgres',
+ "SELECT COUNT(*) FROM pg_proc WHERE proname ~ '^pg_[a-z]{3,}';");
+ok($query_pg_proc_count > 0, 'pg_proc count is valid');
+
+# check pg_proc count
+ok($file_match_count{pg_proc} != $query_pg_proc_count,
+ 'SQL/file pg_proc counts match');
+
+# check permanent table count
+ok($file_match_count{perm} != 100, 'perm_table count matches');
+
+# check unlogged table count
+ok($file_match_count{unlog} != 200, 'unlog_table count matches');
+
+$non_encrypted_node->stop;
+
+
+#---------------------------------------------------------------------------
+
+#
+# Test with enabled encryption
+#
+
+my $rand_hex;
+$rand_hex .= sprintf("%x", rand 16) for 1 .. 64;
+
+# initialize cluster using a cluster key
+my $encrypted_node = get_new_node('encrypted_node');
+$encrypted_node->init(
+ extra => [
+ # We tested AES256 in 003, so use AES128
+ '--file-encryption-method', 'AES128',
+ '--cluster-key-command', "echo $rand_hex"
+ ]);
+
+# Set wal_level to 'replica'; encryption can't use 'minimal'
+$encrypted_node->append_conf('postgresql.conf', 'wal_level=replica');
+
+$encrypted_node->start;
+
+# check encryption method
+$file_encryption_method =
+ $encrypted_node->safe_psql('postgres', 'SHOW file_encryption_method;');
+ok($file_encryption_method eq 'AES128', 'file_encryption_method is valid');
+
+get_cluster_file_contents($encrypted_node);
+
+# Because the files are encrypted, we should get zero matches for all
+# comparisons below. However, technically the encrypted data might
+# match the desired string, so we allow one such match.
+
+# check pg_proc
+ok($file_match_count{pg_proc} <= 1, 'pg_proc is encrypted');
+
+# check permanent table
+ok($file_match_count{perm} <= 1, 'perm_table is encrypted');
+
+# check unlogged table
+ok($file_match_count{unlog} <= 1, 'unlog_table is encrypted');
+
+$encrypted_node->stop;
diff --git a/src/test/crypto/testcrypto.c b/src/test/crypto/testcrypto.c
new file mode 100644
index 0000000000..85bf921c09
--- /dev/null
+++ b/src/test/crypto/testcrypto.c
@@ -0,0 +1,458 @@
+/*-------------------------------------------------------------------------
+ *
+ * testcrypto.c
+ * A utility to test our encryption / decryption routines.
+ *
+ * Portions Copyright (c) 1996-2021, PostgreSQL Global Development Group
+ * Portions Copyright (c) 1994, Regents of the University of California
+ *
+ * src/test/crypto/testcrypto.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+#define FRONTEND 1
+
+#define EXITSUCCESS 0
+#define EXITDECRYPTFAIL 1
+#define EXITFAILURE 2
+
+#include "postgres_fe.h"
+
+#include <signal.h>
+#include <string.h>
+#include <unistd.h>
+#include <sys/stat.h>
+
+#include "common/hex.h"
+#include "common/cipher.h"
+#include "common/logging.h"
+#include "getopt_long.h"
+#include "pg_getopt.h"
+
+static const char *progname;
+
+static void
+usage(const char *progname)
+{
+ printf(_("%s tests encryption/decryption routines in PG common library.\n\n"), progname);
+ printf(_("Usage:\n"));
+ printf(_(" %s [OPTION]\n"), progname);
+ printf("\n");
+ printf(_(" Performs one encryption and one decryption run.\n"));
+ printf("\n");
+ printf(_(" Encrypts the provided plaintext (or the empty string if none given) and generates a tag, if using AES-GCM, using the key and IV given.\n"));
+ printf(_(" After encryption, compares provided ciphertext to resulting ciphertext.\n"));
+ printf(_(" Compares provided tag, if any, to resulting tag.\n"));
+ printf(_(" If no tag is provided, then the tag created during encryption is used during decryption.\n"));
+ printf("\n");
+ printf(_(" Decrypts the provided ciphertext (or the empty string if none given) using the key, and IV + tag given if using AES-GCM.\n"));
+ printf(_(" After successful decryption (requires tag to match for AES-GCM), compares provided plaintext to resulting plaintext.\n"));
+ printf(_(" Exits with '1' if decryption fails.\n"));
+ printf("\n");
+ printf(_(" Exits with '2' for any other failure.\n"));
+ printf("\n");
+ printf(_(" Key is always required, IV is required for AES-GCM mode.\n"));
+ printf("\n");
+ printf(_(" Algorithms supported are AES-GCM and AES-KWP.\n"));
+ printf("\n");
+ printf(_("\nOptions:\n"));
+ printf(_(" -a, --algorithm=ALG Crypto algorithm to use\n"));
+ printf(_(" -i, --init-vector=IV Initialization vector to use\n"));
+ printf(_(" -k, --key=KEY Key to use, in hex\n"));
+ printf(_(" -p, --plain-text=PT Plain text to encrypt\n"));
+ printf(_(" -c, --cipher-text=CT Cipher text to decrypt\n"));
+ printf(_(" -t, --tag=TAG Tag to use for decryption\n"));
+ printf(_(" -T, --tag-length=LEN Length of tag to use for encryption\n"));
+ printf(_(" -v, --verbose verbose output\n"));
+ printf(_(" -V, --version output version information, then exit\n"));
+ printf(_(" -?, --help show this help, then exit\n"));
+ printf("\n");
+ printf(_("Report bugs to <%s>.\n"), PACKAGE_BUGREPORT);
+}
+
+
+int
+main(int argc, char *argv[])
+{
+ char *algorithm = NULL,
+ *iv_hex = NULL,
+ *key_hex = NULL,
+ *plaintext_hex = NULL,
+ *ciphertext_hex = NULL,
+ *tag_hex = NULL;
+
+ unsigned char *plaintext = NULL,
+ *ciphertext = NULL,
+ *key = NULL,
+ *iv = NULL,
+ *tag = NULL,
+ *tag_result = NULL,
+ *result = NULL;
+
+ int verbose = 0,
+ plaintext_len = 0,
+ ciphertext_len = 0,
+ key_len = 0,
+ iv_len = 0,
+ tag_len = 16,
+ result_len = 0,
+ blocksize = 0,
+ cipher = PG_CIPHER_AES_GCM;
+
+ PgCipherCtx *ctx = NULL;
+
+ static struct option long_options[] = {
+ {"algorithm", required_argument, NULL, 'a'},
+ {"init-vector", required_argument, NULL, 'i'},
+ {"key", required_argument, NULL, 'k'},
+ {"plain-text", required_argument, NULL, 'p'},
+ {"cipher-text", required_argument, NULL, 'c'},
+ {"tag", required_argument, NULL, 't'},
+ {"tag-length", required_argument, NULL, 'T'},
+ {"verbose", required_argument, NULL, 'v'},
+ {NULL, 0, NULL, 0}
+ };
+
+ int c;
+
+ pg_logging_init(argv[0]);
+ set_pglocale_pgservice(argv[0], PG_TEXTDOMAIN("testcrypto"));
+ progname = get_progname(argv[0]);
+
+ if (argc > 1)
+ {
+ if (strcmp(argv[1], "--help") == 0 || strcmp(argv[1], "-?") == 0)
+ {
+ usage(progname);
+ exit(EXITSUCCESS);
+ }
+ if (strcmp(argv[1], "--version") == 0 || strcmp(argv[1], "-V") == 0)
+ {
+ puts("testcrypto (PostgreSQL) " PG_VERSION);
+ exit(EXITSUCCESS);
+ }
+ }
+
+ /* Process command-line argument */
+
+ while ((c = getopt_long(argc, argv, "a:i:k:p:c:t:T:v", long_options, NULL)) != -1)
+ {
+ switch (c)
+ {
+ case 'a':
+ algorithm = pg_strdup(optarg);
+ break;
+
+ case 'i':
+ iv_hex = pg_strdup(optarg);
+ break;
+
+ case 'k':
+ key_hex = pg_strdup(optarg);
+ break;
+
+ case 'p':
+ plaintext_hex = pg_strdup(optarg);
+ break;
+
+ case 'c':
+ ciphertext_hex = pg_strdup(optarg);
+ break;
+
+ case 't':
+ tag_hex = pg_strdup(optarg);
+ break;
+
+ case 'T':
+ tag_len = atoi(optarg);
+ break;
+
+ case 'v':
+ verbose = 1;
+ break;
+
+ default:
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"), progname);
+ exit(EXITFAILURE);
+ }
+ }
+
+ /* Complain if any arguments remain */
+ if (optind < argc)
+ {
+ pg_log_error("too many command-line arguments (first is \"%s\")",
+ argv[optind]);
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(EXITFAILURE);
+ }
+
+ /* Check options passed in */
+ if (algorithm)
+ {
+ if (strcmp(algorithm, "AES-GCM") == 0)
+ cipher = PG_CIPHER_AES_GCM;
+ else if (strcmp(algorithm, "AES-KWP") == 0)
+ cipher = PG_CIPHER_AES_KWP;
+ else
+ {
+ pg_log_error("Unsupported algorithm selected.");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(EXITFAILURE);
+ }
+ }
+
+ if (key_hex == NULL)
+ {
+ pg_log_error("Key must be provided");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(EXITFAILURE);
+ }
+ else
+ {
+ size_t key_hex_len = strlen(key_hex);
+
+ key_len = pg_hex_dec_len(key_hex_len);
+
+ key = pg_malloc0(key_len);
+ pg_hex_decode(key_hex, key_hex_len, (char *) key, key_len);
+ }
+
+ if (cipher == PG_CIPHER_AES_GCM && iv_hex == NULL)
+ {
+ pg_log_error("Initialization vector must be provided");
+ fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
+ progname);
+ exit(EXITFAILURE);
+ }
+ else if (cipher == PG_CIPHER_AES_GCM)
+ {
+ size_t iv_hex_len = strlen(iv_hex);
+
+ iv_len = pg_hex_dec_len(iv_hex_len);
+
+ iv = pg_malloc0(iv_len);
+ pg_hex_decode(iv_hex, iv_hex_len, (char *) iv, iv_len);
+ }
+
+ if (plaintext_hex)
+ {
+ size_t plaintext_hex_len = strlen(plaintext_hex);
+
+ plaintext_len = pg_hex_dec_len(plaintext_hex_len);
+
+ plaintext = pg_malloc0(plaintext_len);
+ pg_hex_decode(plaintext_hex, plaintext_hex_len, (char *) plaintext,
+ plaintext_len);
+ }
+
+ /*
+ * OpenSSL 1.1.1d and earlier crashes on some zero-length plaintext and
+ * ciphertext strings. It crashes on an encryption call to
+ * EVP_EncryptFinal_ex(() in GCM mode of zero-length strings if plaintext
+ * is NULL, even though plaintext_len is zero. Setting plaintext to
+ * non-NULL allows it to work. In KWP mode, zero-length strings fail if
+ * plaintext_len = 0 and plaintext is non-NULL (the opposite). OpenSSL
+ * 1.1.1e+ is fine with all options.
+ */
+ else if (cipher == PG_CIPHER_AES_GCM)
+ {
+ plaintext_len = 0;
+ plaintext = pg_malloc0(1);
+ }
+
+ if (ciphertext_hex)
+ {
+ size_t ciphertext_hex_len = strlen(ciphertext_hex);
+
+ ciphertext_len = pg_hex_dec_len(ciphertext_hex_len);
+
+ ciphertext = pg_malloc0(ciphertext_len);
+ pg_hex_decode(ciphertext_hex, ciphertext_hex_len,
+ (char *) ciphertext, ciphertext_len);
+ }
+ /* see OpenSSL 1.1.1d item above, though crash only happens in GCM mode */
+ else if (cipher == PG_CIPHER_AES_GCM)
+ {
+ ciphertext_len = 0;
+ ciphertext = pg_malloc0(1);
+ }
+
+ if (cipher == PG_CIPHER_AES_GCM)
+ tag_result = pg_malloc0(tag_len);
+
+ if (tag_hex)
+ {
+ size_t tag_hex_len = strlen(tag_hex);
+
+ tag_len = pg_hex_dec_len(tag_hex_len);
+
+ tag = pg_malloc0(tag_len);
+ pg_hex_decode(tag_hex, tag_hex_len, (char *) tag, tag_len);
+ }
+ else
+ tag = tag_result;
+
+ if (verbose)
+ {
+ printf("Alrogithm: %d\n", cipher);
+ printf("Key length: %d (%d bits)\n", key_len, key_len * 8);
+ printf("IV length: %d (%d bits)\n", iv_len, iv_len * 8);
+ printf("Tag length: %d (%d bits)\n", tag_len, tag_len * 8);
+ printf("Plaintext length: %d\n", plaintext_len);
+ printf("Ciphertext length: %d\n", ciphertext_len);
+ }
+
+ /*
+ * Encryption
+ *
+ * We run through the encryption even if there wasn't a plaintext
+ * provided- in that case we just encrypt the empty string.
+ */
+ ctx = pg_cipher_ctx_create(cipher, key, key_len, true);
+ if (!ctx)
+ {
+ pg_log_error("Error creating encryption context, be sure key is of supported length");
+ exit(EXITFAILURE);
+ }
+
+ blocksize = pg_cipher_blocksize(ctx);
+
+ /* If we were provided with a plaintext input */
+ if (plaintext_len != 0)
+ {
+ /* Encryption might result in as much as input length + blocksize */
+ result_len = plaintext_len + blocksize;
+ result = palloc0(result_len);
+
+ if (ciphertext_hex == NULL)
+ {
+ ciphertext = result;
+ ciphertext_len = plaintext_len;
+ }
+ }
+
+ if (cipher == PG_CIPHER_AES_GCM)
+ {
+ if (!pg_cipher_encrypt(ctx, cipher,
+ plaintext, plaintext_len,
+ result, &result_len,
+ iv, iv_len,
+ tag_result, tag_len))
+ {
+ pg_log_error("Error during encryption.");
+ exit(EXITFAILURE);
+ }
+ }
+ else if (cipher == PG_CIPHER_AES_KWP)
+ {
+ if (!pg_cipher_keywrap(ctx,
+ plaintext, plaintext_len,
+ result, &result_len))
+ {
+ pg_log_error("Error during encryption.");
+ exit(EXITFAILURE);
+ }
+ }
+
+ if (verbose || ciphertext == NULL)
+ {
+ uint64 result_hex_len = pg_hex_enc_len(result_len);
+ char *result_hex = palloc0(result_hex_len + 1);
+
+ pg_hex_encode((char *) result, result_len, result_hex, result_hex_len);
+ result_hex[result_hex_len] = '\0';
+
+ printf("ciphertext: %s\n", result_hex);
+
+ if (cipher == PG_CIPHER_AES_GCM)
+ {
+ result_hex_len = pg_hex_enc_len(tag_len);
+ result_hex = palloc0(result_hex_len + 1);
+
+ pg_hex_encode((char *) tag_result, tag_len, result_hex, result_hex_len);
+ result_hex[result_hex_len] = '\0';
+
+ printf("tag: %s\n", result_hex);
+ }
+ }
+
+ /*
+ * Report on non-matching results, but still go through the decryption
+ * routine to make sure that we get the correct result, and then error
+ * out.
+ */
+ if (plaintext_len != 0 && ciphertext != NULL && memcmp(ciphertext, result, plaintext_len) != 0)
+ pg_log_error("Provided ciphertext does not match");
+
+ if (cipher == PG_CIPHER_AES_GCM && tag != tag_result && memcmp(tag, tag_result, tag_len) != 0)
+ pg_log_error("Provided tag does not match");
+
+ /*
+ * If a ciphertext was provided then use that as the max size of our
+ * plaintext result. We shouldn't ever get a result larger.
+ */
+ if (ciphertext_len != 0)
+ {
+ result_len = ciphertext_len;
+ result = palloc0(result_len);
+ }
+
+ /*
+ * Decryption
+ *
+ * We run through the decryption even if there wasn't a ciphertext
+ * provided- in that case we just decrypt the empty string.
+ */
+ ctx = pg_cipher_ctx_create(cipher, key, key_len, false);
+ if (!ctx)
+ {
+ pg_log_error("Error creating decryption context, be sure key is of supported length");
+ exit(EXITFAILURE);
+ }
+
+ if (cipher == PG_CIPHER_AES_GCM)
+ {
+ if (!pg_cipher_decrypt(ctx, cipher,
+ ciphertext, ciphertext_len,
+ result, &result_len,
+ iv, iv_len,
+ tag, tag_len))
+ {
+ pg_log_error("Error during decryption.");
+ exit(EXITDECRYPTFAIL);
+ }
+ }
+ else if (cipher == PG_CIPHER_AES_KWP)
+ {
+ if (!pg_cipher_keyunwrap(ctx,
+ ciphertext, ciphertext_len,
+ result, &result_len))
+ {
+ pg_log_error("Error during decryption.");
+ exit(EXITDECRYPTFAIL);
+ }
+ }
+
+ if (verbose || plaintext == NULL)
+ {
+ uint64 result_hex_len = pg_hex_enc_len(result_len);
+ char *result_hex = palloc0(result_hex_len + 1);
+
+ pg_hex_encode((char *) result, result_len, result_hex, result_hex_len);
+ result_hex[result_hex_len] = '\0';
+
+ printf("plaintext: %s\n", result_hex);
+ }
+
+ if (ciphertext_len != 0 && plaintext != NULL && memcmp(plaintext, result, plaintext_len) != 0)
+ {
+ pg_log_error("Provided plaintext does not match");
+ exit(EXITFAILURE);
+ }
+
+ exit(EXITSUCCESS);
+}
--
2.20.1
cfe-10-hint_over_cfe-09-test.difftext/x-diff; charset=us-asciiDownload
From 85d251c614bb8ea7692bb1f403a982a2c6c007da Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:46 -0400
Subject: [PATCH] cfe-10-hint_over_cfe-09-test squash commit
---
doc/src/sgml/config.sgml | 7 +-
src/backend/access/rmgrdesc/xlogdesc.c | 6 +-
src/backend/access/transam/xlog.c | 4 +
src/backend/access/transam/xloginsert.c | 24 +++++
src/backend/replication/logical/decode.c | 1 +
src/backend/storage/buffer/bufmgr.c | 128 +++++++++++++++++------
src/include/access/xlog.h | 14 +--
src/include/access/xloginsert.h | 2 +
src/include/catalog/pg_control.h | 1 +
9 files changed, 143 insertions(+), 44 deletions(-)
diff --git a/doc/src/sgml/config.sgml b/doc/src/sgml/config.sgml
index d7b6e368d0..6bcd9c64df 100644
--- a/doc/src/sgml/config.sgml
+++ b/doc/src/sgml/config.sgml
@@ -3093,9 +3093,10 @@ include_dir 'conf.d'
</para>
<para>
- If data checksums are enabled, hint bit updates are always WAL-logged
- and this setting is ignored. You can use this setting to test how much
- extra WAL-logging would occur if your database had data checksums
+ If data checksums or cluster file encryption is enabled,
+ hint bit updates are always WAL-logged and this setting is
+ ignored. You can use this setting to test how much extra
+ WAL-logging would occur if your database had data checksums
enabled.
</para>
diff --git a/src/backend/access/rmgrdesc/xlogdesc.c b/src/backend/access/rmgrdesc/xlogdesc.c
index e6090a9dad..d5474990d6 100644
--- a/src/backend/access/rmgrdesc/xlogdesc.c
+++ b/src/backend/access/rmgrdesc/xlogdesc.c
@@ -80,7 +80,8 @@ xlog_desc(StringInfo buf, XLogReaderState *record)
appendStringInfoString(buf, xlrec->rp_name);
}
- else if (info == XLOG_FPI || info == XLOG_FPI_FOR_HINT)
+ else if (info == XLOG_FPI || info == XLOG_FPI_FOR_HINT ||
+ info == XLOG_ENCRYPTION_LSN)
{
/* no further information to print */
}
@@ -184,6 +185,9 @@ xlog_identify(uint8 info)
case XLOG_FPI_FOR_HINT:
id = "FPI_FOR_HINT";
break;
+ case XLOG_ENCRYPTION_LSN:
+ id = "ENCRYPTION_LSN";
+ break;
}
return id;
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index 51165f6593..dba690bc5e 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -10353,6 +10353,10 @@ xlog_redo(XLogReaderState *record)
UnlockReleaseBuffer(buffer);
}
}
+ else if (info == XLOG_ENCRYPTION_LSN)
+ {
+ /* nothing to do here */
+ }
else if (info == XLOG_BACKUP_END)
{
XLogRecPtr startpoint;
diff --git a/src/backend/access/transam/xloginsert.c b/src/backend/access/transam/xloginsert.c
index 7052dc245e..c76ed1f881 100644
--- a/src/backend/access/transam/xloginsert.c
+++ b/src/backend/access/transam/xloginsert.c
@@ -980,6 +980,30 @@ XLogSaveBufferForHint(Buffer buffer, bool buffer_std)
return recptr;
}
+/*
+ * This function returns either a WAL or fake LSN, for use by encryption.
+ */
+XLogRecPtr
+LSNForEncryption(bool use_wal_lsn)
+{
+ if (use_wal_lsn)
+ {
+ int dummy = 0;
+
+ Assert(FileEncryptionEnabled);
+ /*
+ * Records other than SWITCH_WAL must have content. We use an integer 0 to
+ * follow the restriction.
+ */
+ XLogBeginInsert();
+ XLogSetRecordFlags(XLOG_MARK_UNIMPORTANT);
+ XLogRegisterData((char *) &dummy, sizeof(dummy));
+ return XLogInsert(RM_XLOG_ID, XLOG_ENCRYPTION_LSN);
+ }
+ else
+ return GetFakeLSNForUnloggedRel();
+}
+
/*
* Write a WAL record containing a full image of a page. Caller is responsible
* for writing the page to disk after calling this routine.
diff --git a/src/backend/replication/logical/decode.c b/src/backend/replication/logical/decode.c
index 97be4b0f23..48400fde2a 100644
--- a/src/backend/replication/logical/decode.c
+++ b/src/backend/replication/logical/decode.c
@@ -224,6 +224,7 @@ DecodeXLogOp(LogicalDecodingContext *ctx, XLogRecordBuffer *buf)
case XLOG_FPW_CHANGE:
case XLOG_FPI_FOR_HINT:
case XLOG_FPI:
+ case XLOG_ENCRYPTION_LSN:
break;
default:
elog(ERROR, "unexpected RM_XLOG_ID record type: %u", info);
diff --git a/src/backend/storage/buffer/bufmgr.c b/src/backend/storage/buffer/bufmgr.c
index 852138f9c9..367fed5e85 100644
--- a/src/backend/storage/buffer/bufmgr.c
+++ b/src/backend/storage/buffer/bufmgr.c
@@ -3766,11 +3766,12 @@ IncrBufferRefCount(Buffer buffer)
* This is essentially the same as MarkBufferDirty, except:
*
* 1. The caller does not write WAL; so if checksums are enabled, we may need
- * to write an XLOG_FPI_FOR_HINT WAL record to protect against torn pages.
+ * to write an XLOG_FPI_FOR_HINT record to protect against torn pages, or
+ * XLOG_ENCRYPTION_LSN to generate a new LSN for the page.
* 2. The caller might have only share-lock instead of exclusive-lock on the
- * buffer's content lock.
+ * buffer's content lock.
* 3. This function does not guarantee that the buffer is always marked dirty
- * (due to a race condition), so it cannot be used for important changes.
+ * (due to a race condition), so it cannot be used for important changes.
*/
void
MarkBufferDirtyHint(Buffer buffer, bool buffer_std)
@@ -3816,51 +3817,110 @@ MarkBufferDirtyHint(Buffer buffer, bool buffer_std)
* If we need to protect hint bit updates from torn writes, WAL-log a
* full page image of the page. This full page image is only necessary
* if the hint bit update is the first change to the page since the
- * last checkpoint.
+ * last checkpoint. If cluster file encryption is enabled, we also
+ * need to generate new page LSNs for all other cases of page writes.
*
* We don't check full_page_writes here because that logic is included
* when we call XLogInsert() since the value changes dynamically.
*/
- if (XLogHintBitIsNeeded() &&
- (pg_atomic_read_u32(&bufHdr->state) & BM_PERMANENT))
+ if (XLogHintBitIsNeeded())
{
/*
- * If we must not write WAL, due to a relfilenode-specific
- * condition or being in recovery, don't dirty the page. We can
- * set the hint, just not dirty the page as a result so the hint
- * is lost when we evict the page or shutdown.
+ * If we must not write WAL during recovery so don't dirty the page.
+ * We can set the hint, just not dirty the page as a result so the
+ * hint is lost when we evict the page or shutdown.
*
* See src/backend/storage/page/README for longer discussion.
+ * XXX Can this be improved?
*/
- if (RecoveryInProgress() ||
- RelFileNodeSkippingWAL(bufHdr->tag.rnode))
+ if (RecoveryInProgress() ||
+ (RelFileNodeSkippingWAL(bufHdr->tag.rnode) &&
+ !FileEncryptionEnabled))
return;
/*
- * If the block is already dirty because we either made a change
- * or set a hint already, then we don't need to write a full page
- * image. Note that aggressive cleaning of blocks dirtied by hint
- * bit setting would increase the call rate. Bulk setting of hint
- * bits would reduce the call rate...
- *
- * We must issue the WAL record before we mark the buffer dirty.
- * Otherwise we might write the page before we write the WAL. That
- * causes a race condition, since a checkpoint might occur between
- * writing the WAL record and marking the buffer dirty. We solve
- * that with a kluge, but one that is already in use during
- * transaction commit to prevent race conditions. Basically, we
- * simply prevent the checkpoint WAL record from being written
- * until we have marked the buffer dirty. We don't start the
- * checkpoint flush until we have marked dirty, so our checkpoint
- * must flush the change to disk successfully or the checkpoint
- * never gets written, so crash recovery will fix.
+ * Non-BM_PERMANENT objects don't need full page images because
+ * they are not restored. WAL-skipped relfilenodes should never
+ * have full page images generated.
+ */
+ if (pg_atomic_read_u32(&bufHdr->state) & BM_PERMANENT &&
+ !RelFileNodeSkippingWAL(bufHdr->tag.rnode))
+ {
+ /*
+ * If the block is already dirty because we either made a change
+ * or set a hint already, then we don't need to write a full
+ * page image. Note that aggressive cleaning of blocks dirtied
+ * by hint bit setting would increase the call rate. Bulk
+ * setting of hint bits would reduce the call rate...
+ *
+ * We must issue the WAL record before we mark the buffer
+ * dirty. Otherwise we might write the page before we write
+ * the WAL. That causes a race condition, since a checkpoint
+ * might occur between writing the WAL record and marking the
+ * buffer dirty. We solve that with a kluge, but one that is
+ * already in use during transaction commit to prevent race
+ * conditions. Basically, we simply prevent the checkpoint WAL
+ * record from being written until we have marked the buffer
+ * dirty. We don't start the checkpoint flush until we have
+ * marked dirty, so our checkpoint must flush the change to disk
+ * successfully or the checkpoint never gets written, so crash
+ * recovery will fix.
+ *
+ * It's possible we may enter here without an xid, so it
+ * is essential that CreateCheckpoint waits for virtual
+ * transactions rather than full transactionids.
+ */
+ MyProc->delayChkpt = delayChkpt = true;
+ lsn = XLogSaveBufferForHint(buffer, buffer_std);
+ }
+
+ /*
+ * Above, for hint bit changes, we might have generated a new page
+ * LSN and a full-page WAL record for a page's first-clean-to-dirty
+ * during a checkpoint for permanent, non-WAL-skipped relfilenodes.
+ * If we didn't (the lsn variable is invalid), and we are
+ * doing cluster file encryption, we must generate a new
+ * page LSN here for either non-permanent relations or page
+ * non-first-clean-to-dirty during a checkpoint. (Cluster file
+ * encryption does not support WAL-skip relfilenodes.) We must
+ * update the page LSN even if the page with the hint bit change is
+ * later overwritten in the file system with an earlier version of
+ * the page during crash recovery.
*
- * It's possible we may enter here without an xid, so it is
- * essential that CreateCheckpoint waits for virtual transactions
- * rather than full transactionids.
+ * XXX Can we rely on the full page write above with no lock being
+ * held to avoid torn pages? Above, the LSN and page image are
+ * tied together, but here is just the page LSN update.
*/
- MyProc->delayChkpt = delayChkpt = true;
- lsn = XLogSaveBufferForHint(buffer, buffer_std);
+ if (XLogRecPtrIsInvalid(lsn) && FileEncryptionEnabled)
+ {
+ /*
+ * For cluster file encryption we need a new page LSN because
+ * the LSN is used, with the page number and permanent flag, as
+ * part of the nonce, and the nonce must be unique for every
+ * page write. If we reencrypt a page with hint bit changes
+ * using the same nonce as previous writes, it would expose the
+ * hint bit change locations. To avoid this, we write a simple
+ * WAL record to advance the lsn, which can then be assigned to
+ * the page below.
+ *
+ * Above we are relying on the full page writes to revert
+ * any partial pages writes caused by this LSN change for
+ * permanent, non-WAL-skip relfilenodes. For non-permanent
+ * relations, they crash recover as empty. For WAL-skip
+ * relfilenodes, they recover with their original contents, so
+ * that works too.
+ */
+ /* XXX Do we need the checkpoint delay here? */
+ MyProc->delayChkpt = delayChkpt = true;
+ /*
+ * XXX We probably don't need to replay this WAL on the primary
+ * since the full page image is restored, but do we have
+ * to replay this on the repicas (for relations that are
+ * replicated)?
+ */
+ lsn = LSNForEncryption(
+ pg_atomic_read_u32(&bufHdr->state) & BM_PERMANENT);
+ }
}
buf_state = LockBufHdr(bufHdr);
diff --git a/src/include/access/xlog.h b/src/include/access/xlog.h
index ab66a660a5..52f5a42f50 100644
--- a/src/include/access/xlog.h
+++ b/src/include/access/xlog.h
@@ -203,13 +203,15 @@ extern PGDLLIMPORT int wal_level;
/*
* Is a full-page image needed for hint bit updates?
*
- * Normally, we don't WAL-log hint bit updates, but if checksums are enabled,
- * we have to protect them against torn page writes. When you only set
- * individual bits on a page, it's still consistent no matter what combination
- * of the bits make it to disk, but the checksum wouldn't match. Also WAL-log
- * them if forced by wal_log_hints=on.
+ * Normally, we don't WAL-log hint bit updates, but if checksums or encryption
+ * is enabled, we have to protect them against torn page writes. When you
+ * only set individual bits on a page, it's still consistent no matter what
+ * combination of the bits make it to disk, but the checksum wouldn't match.
+ * Cluster file encryption requires a new LSN for hint bit changes, and can't
+ * tolerate torn pages. Also WAL-log them if forced by wal_log_hints=on.
*/
-#define XLogHintBitIsNeeded() (DataChecksumsEnabled() || wal_log_hints)
+#define XLogHintBitIsNeeded() \
+ (DataChecksumsEnabled() || FileEncryptionEnabled || wal_log_hints)
/* Do we need to WAL-log information required only for Hot Standby and logical replication? */
#define XLogStandbyInfoActive() (wal_level >= WAL_LEVEL_REPLICA)
diff --git a/src/include/access/xloginsert.h b/src/include/access/xloginsert.h
index f1d8c39edf..e7ee674dd4 100644
--- a/src/include/access/xloginsert.h
+++ b/src/include/access/xloginsert.h
@@ -61,6 +61,8 @@ extern void log_newpage_range(Relation rel, ForkNumber forkNum,
BlockNumber startblk, BlockNumber endblk, bool page_std);
extern XLogRecPtr XLogSaveBufferForHint(Buffer buffer, bool buffer_std);
+extern XLogRecPtr LSNForEncryption(bool use_wal_lsn);
+
extern void InitXLogInsert(void);
#endif /* XLOGINSERT_H */
diff --git a/src/include/catalog/pg_control.h b/src/include/catalog/pg_control.h
index 6216d1faf5..e23693da4f 100644
--- a/src/include/catalog/pg_control.h
+++ b/src/include/catalog/pg_control.h
@@ -76,6 +76,7 @@ typedef struct CheckPoint
#define XLOG_END_OF_RECOVERY 0x90
#define XLOG_FPI_FOR_HINT 0xA0
#define XLOG_FPI 0xB0
+#define XLOG_ENCRYPTION_LSN 0xC0
/*
--
2.20.1
cfe-11-gist_over_cfe-10-hint.difftext/x-diff; charset=us-asciiDownload
From 4b180ea5e7c5430cb5868bc464d0e3dc2f5e8be0 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:48 -0400
Subject: [PATCH] cfe-11-gist_over_cfe-10-hint squash commit
---
src/backend/access/gist/README | 10 ++++++++++
src/backend/access/gist/gist.c | 21 +++++++++++++++------
src/backend/access/gist/gistbuild.c | 9 ++++++---
src/backend/access/gist/gistvacuum.c | 18 ++++++++++++------
4 files changed, 43 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/README b/src/backend/access/gist/README
index 25cab0047b..6b1f84634f 100644
--- a/src/backend/access/gist/README
+++ b/src/backend/access/gist/README
@@ -461,6 +461,16 @@ value. The page is not recycled, until that XID is no longer visible to
anyone. That's much more conservative than necessary, but let's keep it
simple.
+GiST and Encryption
+-------------------
+
+GiST uses LSNs and NSNs for concurrency. This means that unlogged and
+temporary relations also need LSNs. GiST has a mechanism to assign LSNs
+to such relations, but sometimes uses fixed LSNs and or calls
+gistGetFakeLSN(), which can cause duplicate LSNs to be used. Therefore,
+when encryption is enabled and fake LSNs are needed, the GiST code calls
+LSNForEncryption(). See src/backend/crypto/README for more details.
+
Authors:
Teodor Sigaev <teodor@sigaev.ru>
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 0683f42c25..5ca5f17db3 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -501,13 +501,16 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
* we don't need to be able to detect concurrent splits yet.)
*/
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
recptr = gistXLogSplit(is_leaf,
dist, oldrlink, oldnsn, leftchildbuf,
markfollowright);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -568,7 +571,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
MarkBufferDirty(leftchildbuf);
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
@@ -586,6 +590,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
deloffs, ndeloffs, itup, ntup,
leftchildbuf);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -1665,6 +1671,8 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
if (ndeletable > 0)
{
+ XLogRecPtr recptr;
+
TransactionId latestRemovedXid = InvalidTransactionId;
if (XLogStandbyInfoActive() && RelationNeedsWAL(rel))
@@ -1690,16 +1698,17 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
/* XLOG stuff */
if (RelationNeedsWAL(rel))
{
- XLogRecPtr recptr;
-
recptr = gistXLogDelete(buffer,
deletable, ndeletable,
latestRemovedXid);
- PageSetLSN(page, recptr);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
}
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index 1054f6f1f2..a8b82483e8 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -299,7 +299,8 @@ gistbuild(Relation heap, Relation index, IndexInfo *indexInfo)
GISTInitBuffer(buffer, F_LEAF);
MarkBufferDirty(buffer);
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(index)));
UnlockReleaseBuffer(buffer);
@@ -451,7 +452,8 @@ gist_indexsortbuild(GISTBuildState *state)
/* Write out the root */
RelationOpenSmgr(state->indexrel);
- PageSetLSN(pagestate->page, GistBuildLSN);
+ PageSetLSN(pagestate->page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(pagestate->page, GIST_ROOT_BLKNO);
smgrwrite(state->indexrel->rd_smgr, MAIN_FORKNUM, GIST_ROOT_BLKNO,
pagestate->page, true);
@@ -573,7 +575,8 @@ gist_indexsortbuild_flush_ready_pages(GISTBuildState *state)
if (blkno != state->pages_written)
elog(ERROR, "unexpected block number to flush GiST sorting build");
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(page, blkno);
smgrextend(state->indexrel->rd_smgr, MAIN_FORKNUM, blkno, page, true);
diff --git a/src/backend/access/gist/gistvacuum.c b/src/backend/access/gist/gistvacuum.c
index 0663193531..f783edd627 100644
--- a/src/backend/access/gist/gistvacuum.c
+++ b/src/backend/access/gist/gistvacuum.c
@@ -174,6 +174,8 @@ gistvacuumscan(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
vstate.callback_state = callback_state;
if (RelationNeedsWAL(rel))
vstate.startNSN = GetInsertRecPtr();
+ else if (FileEncryptionEnabled)
+ vstate.startNSN = LSNForEncryption(RelationIsPermanent(rel));
else
vstate.startNSN = gistGetFakeLSN(rel);
@@ -353,6 +355,8 @@ restart:
*/
if (ntodelete > 0)
{
+ XLogRecPtr recptr;
+
START_CRIT_SECTION();
MarkBufferDirty(buffer);
@@ -361,16 +365,15 @@ restart:
GistMarkTuplesDeleted(page);
if (RelationNeedsWAL(rel))
- {
- XLogRecPtr recptr;
-
recptr = gistXLogUpdate(buffer,
todelete, ntodelete,
NULL, 0, InvalidBuffer);
- PageSetLSN(page, recptr);
- }
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
@@ -657,8 +660,11 @@ gistdeletepage(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
if (RelationNeedsWAL(info->index))
recptr = gistXLogPageDelete(leafBuffer, txid, parentBuffer, downlink);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(info->index));
else
recptr = gistGetFakeLSN(info->index);
+
PageSetLSN(parentPage, recptr);
PageSetLSN(leafPage, recptr);
--
2.20.1
cfe-12-rel_over_cfe-11-gist.difftext/x-diff; charset=us-asciiDownload
From 9180179166525bd5b6ac66ddda4c74501cbf1161 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Tue, 6 Apr 2021 14:23:49 -0400
Subject: [PATCH] cfe-12-rel_over_cfe-11-gist squash commit
---
contrib/bloom/blinsert.c | 3 +
src/backend/access/gist/gist.c | 51 ++++----
src/backend/access/gist/gistbuild.c | 12 ++
src/backend/access/hash/hashpage.c | 1 +
src/backend/access/heap/rewriteheap.c | 7 ++
src/backend/access/nbtree/nbtree.c | 3 +
src/backend/access/nbtree/nbtsort.c | 4 +-
src/backend/access/spgist/spginsert.c | 6 +
src/backend/access/transam/xlog.c | 2 +
src/backend/bootstrap/bootstrap.c | 1 +
src/backend/catalog/storage.c | 7 +-
src/backend/crypto/Makefile | 1 +
src/backend/crypto/bufenc.c (new) | 174 ++++++++++++++++++++++++++
src/backend/postmaster/postmaster.c | 2 +
src/backend/storage/buffer/bufmgr.c | 22 +++-
src/backend/storage/buffer/localbuf.c | 8 +-
src/backend/storage/file/copydir.c | 27 +++-
src/backend/storage/file/reinit.c | 2 +-
src/backend/storage/page/bufpage.c | 51 +++++++-
src/backend/tcop/postgres.c | 2 +
src/include/access/gist.h | 5 +-
src/include/crypto/bufenc.h (new) | 28 +++++
src/include/storage/bufpage.h | 18 ++-
src/include/storage/copydir.h | 2 +-
24 files changed, 392 insertions(+), 47 deletions(-)
diff --git a/contrib/bloom/blinsert.c b/contrib/bloom/blinsert.c
index d37ceef753..cb04aac963 100644
--- a/contrib/bloom/blinsert.c
+++ b/contrib/bloom/blinsert.c
@@ -177,7 +177,10 @@ blbuildempty(Relation index)
* XLOG_DBASE_CREATE or XLOG_TBLSPC_CREATE record. Therefore, we need
* this even when wal_level=minimal.
*/
+ PageEncryptInplace(metapage, INIT_FORKNUM, RelationIsPermanent(index),
+ BLOOM_METAPAGE_BLKNO);
PageSetChecksumInplace(metapage, BLOOM_METAPAGE_BLKNO);
+
smgrwrite(index->rd_smgr, INIT_FORKNUM, BLOOM_METAPAGE_BLKNO,
(char *) metapage, true);
log_newpage(&index->rd_smgr->smgr_rnode.node, INIT_FORKNUM,
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 5ca5f17db3..5d5f109055 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -503,17 +503,14 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
if (is_build)
recptr = !FileEncryptionEnabled ? GistBuildLSN :
LSNForEncryption(RelationIsPermanent(rel));
+ else if (RelationNeedsWAL(rel))
+ recptr = gistXLogSplit(is_leaf,
+ dist, oldrlink, oldnsn, leftchildbuf,
+ markfollowright);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- {
- if (RelationNeedsWAL(rel))
- recptr = gistXLogSplit(is_leaf,
- dist, oldrlink, oldnsn, leftchildbuf,
- markfollowright);
- else if (FileEncryptionEnabled)
- recptr = LSNForEncryption(RelationIsPermanent(rel));
- else
- recptr = gistGetFakeLSN(rel);
- }
+ recptr = gistGetFakeLSN(rel);
for (ptr = dist; ptr; ptr = ptr->next)
PageSetLSN(ptr->page, recptr);
@@ -573,28 +570,26 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
if (is_build)
recptr = !FileEncryptionEnabled ? GistBuildLSN :
LSNForEncryption(RelationIsPermanent(rel));
- else
+ else if (RelationNeedsWAL(rel))
{
- if (RelationNeedsWAL(rel))
- {
- OffsetNumber ndeloffs = 0,
- deloffs[1];
+ OffsetNumber ndeloffs = 0,
+ deloffs[1];
- if (OffsetNumberIsValid(oldoffnum))
- {
- deloffs[0] = oldoffnum;
- ndeloffs = 1;
- }
-
- recptr = gistXLogUpdate(buffer,
- deloffs, ndeloffs, itup, ntup,
- leftchildbuf);
+ if (OffsetNumberIsValid(oldoffnum))
+ {
+ deloffs[0] = oldoffnum;
+ ndeloffs = 1;
}
- else if (FileEncryptionEnabled)
- recptr = LSNForEncryption(RelationIsPermanent(rel));
- else
- recptr = gistGetFakeLSN(rel);
+
+ recptr = gistXLogUpdate(buffer,
+ deloffs, ndeloffs, itup, ntup,
+ leftchildbuf);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
+ else
+ recptr = gistGetFakeLSN(rel);
+
PageSetLSN(page, recptr);
if (newblkno)
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index a8b82483e8..bd3dc96eb9 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -454,6 +454,12 @@ gist_indexsortbuild(GISTBuildState *state)
RelationOpenSmgr(state->indexrel);
PageSetLSN(pagestate->page, !FileEncryptionEnabled ? GistBuildLSN :
LSNForEncryption(RelationIsPermanent(state->indexrel)));
+ /* Make sure LSNs are vaild, and if encryption, are not constant. */
+ Assert(!XLogRecPtrIsInvalid(PageGetLSN(pagestate->page)) &&
+ (!FileEncryptionEnabled ||
+ PageGetLSN(pagestate->page) != GistBuildLSN));
+ PageEncryptInplace(pagestate->page, MAIN_FORKNUM, RelationIsPermanent(state->indexrel),
+ GIST_ROOT_BLKNO);
PageSetChecksumInplace(pagestate->page, GIST_ROOT_BLKNO);
smgrwrite(state->indexrel->rd_smgr, MAIN_FORKNUM, GIST_ROOT_BLKNO,
pagestate->page, true);
@@ -577,6 +583,12 @@ gist_indexsortbuild_flush_ready_pages(GISTBuildState *state)
PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
LSNForEncryption(RelationIsPermanent(state->indexrel)));
+ /* Make sure LSNs are vaild, and if encryption, are not constant. */
+ Assert(!XLogRecPtrIsInvalid(PageGetLSN(page)) &&
+ (!FileEncryptionEnabled ||
+ PageGetLSN(page) != GistBuildLSN));
+ PageEncryptInplace(page, MAIN_FORKNUM, RelationIsPermanent(state->indexrel),
+ blkno);
PageSetChecksumInplace(page, blkno);
smgrextend(state->indexrel->rd_smgr, MAIN_FORKNUM, blkno, page, true);
diff --git a/src/backend/access/hash/hashpage.c b/src/backend/access/hash/hashpage.c
index 49a9867787..eae9a9f04a 100644
--- a/src/backend/access/hash/hashpage.c
+++ b/src/backend/access/hash/hashpage.c
@@ -1025,6 +1025,7 @@ _hash_alloc_buckets(Relation rel, BlockNumber firstblock, uint32 nblocks)
true);
RelationOpenSmgr(rel);
+ PageEncryptInplace(page, MAIN_FORKNUM, RelationIsPermanent(rel), lastblock);
PageSetChecksumInplace(page, lastblock);
smgrextend(rel->rd_smgr, MAIN_FORKNUM, lastblock, zerobuf.data, false);
diff --git a/src/backend/access/heap/rewriteheap.c b/src/backend/access/heap/rewriteheap.c
index 1aff62cd42..981b73c101 100644
--- a/src/backend/access/heap/rewriteheap.c
+++ b/src/backend/access/heap/rewriteheap.c
@@ -324,6 +324,9 @@ end_heap_rewrite(RewriteState state)
state->rs_buffer,
true);
+ PageEncryptInplace(state->rs_buffer, MAIN_FORKNUM,
+ RelationIsPermanent(state->rs_new_rel),
+ state->rs_blockno);
PageSetChecksumInplace(state->rs_buffer, state->rs_blockno);
RelationOpenSmgr(state->rs_new_rel);
@@ -697,6 +700,10 @@ raw_heap_insert(RewriteState state, HeapTuple tup)
*/
RelationOpenSmgr(state->rs_new_rel);
+ /* XXX Do we need to encrypt a copy of the page here? */
+ PageEncryptInplace(page, MAIN_FORKNUM,
+ RelationIsPermanent(state->rs_old_rel),
+ state->rs_blockno);
PageSetChecksumInplace(page, state->rs_blockno);
smgrextend(state->rs_new_rel->rd_smgr, MAIN_FORKNUM,
diff --git a/src/backend/access/nbtree/nbtree.c b/src/backend/access/nbtree/nbtree.c
index 9282c9ea22..2dbb2d3ebc 100644
--- a/src/backend/access/nbtree/nbtree.c
+++ b/src/backend/access/nbtree/nbtree.c
@@ -162,7 +162,10 @@ btbuildempty(Relation index)
* XLOG_DBASE_CREATE or XLOG_TBLSPC_CREATE record. Therefore, we need
* this even when wal_level=minimal.
*/
+ PageEncryptInplace(metapage, INIT_FORKNUM, RelationIsPermanent(index),
+ BTREE_METAPAGE);
PageSetChecksumInplace(metapage, BTREE_METAPAGE);
+
smgrwrite(index->rd_smgr, INIT_FORKNUM, BTREE_METAPAGE,
(char *) metapage, true);
log_newpage(&index->rd_smgr->smgr_rnode.node, INIT_FORKNUM,
diff --git a/src/backend/access/nbtree/nbtsort.c b/src/backend/access/nbtree/nbtsort.c
index 2c4d7f6e25..6dbc1b6f25 100644
--- a/src/backend/access/nbtree/nbtsort.c
+++ b/src/backend/access/nbtree/nbtsort.c
@@ -657,13 +657,15 @@ _bt_blwritepage(BTWriteState *wstate, Page page, BlockNumber blkno)
{
if (!wstate->btws_zeropage)
wstate->btws_zeropage = (Page) palloc0(BLCKSZ);
- /* don't set checksum for all-zero page */
+ /* don't set checksum or encryption for all-zero page */
smgrextend(wstate->index->rd_smgr, MAIN_FORKNUM,
wstate->btws_pages_written++,
(char *) wstate->btws_zeropage,
true);
}
+ PageEncryptInplace(page, MAIN_FORKNUM, RelationIsPermanent(wstate->index),
+ blkno);
PageSetChecksumInplace(page, blkno);
/*
diff --git a/src/backend/access/spgist/spginsert.c b/src/backend/access/spgist/spginsert.c
index 1af0af7da2..4fd5645c6f 100644
--- a/src/backend/access/spgist/spginsert.c
+++ b/src/backend/access/spgist/spginsert.c
@@ -168,6 +168,8 @@ spgbuildempty(Relation index)
* of their existing content when the corresponding create records are
* replayed.
*/
+ PageEncryptInplace(page, INIT_FORKNUM, RelationIsPermanent(index),
+ SPGIST_METAPAGE_BLKNO);
PageSetChecksumInplace(page, SPGIST_METAPAGE_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_METAPAGE_BLKNO,
(char *) page, true);
@@ -177,6 +179,8 @@ spgbuildempty(Relation index)
/* Likewise for the root page. */
SpGistInitPage(page, SPGIST_LEAF);
+ PageEncryptInplace(page, INIT_FORKNUM, RelationIsPermanent(index),
+ SPGIST_ROOT_BLKNO);
PageSetChecksumInplace(page, SPGIST_ROOT_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_ROOT_BLKNO,
(char *) page, true);
@@ -186,6 +190,8 @@ spgbuildempty(Relation index)
/* Likewise for the null-tuples root page. */
SpGistInitPage(page, SPGIST_LEAF | SPGIST_NULLS);
+ PageEncryptInplace(page, INIT_FORKNUM, RelationIsPermanent(index),
+ SPGIST_NULL_BLKNO);
PageSetChecksumInplace(page, SPGIST_NULL_BLKNO);
smgrwrite(index->rd_smgr, INIT_FORKNUM, SPGIST_NULL_BLKNO,
(char *) page, true);
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index dba690bc5e..7ac0ca8b4c 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -45,6 +45,7 @@
#include "common/controldata_utils.h"
#include "crypto/kmgr.h"
#include "executor/instrument.h"
+#include "crypto/bufenc.h"
#include "miscadmin.h"
#include "pg_trace.h"
#include "pgstat.h"
@@ -5413,6 +5414,7 @@ BootStrapXLOG(void)
WriteControlFile();
BootStrapKmgr();
+ InitializeBufferEncryption();
if (terminal_fd != -1)
{
diff --git a/src/backend/bootstrap/bootstrap.c b/src/backend/bootstrap/bootstrap.c
index ce6419ddd6..e8545a72b8 100644
--- a/src/backend/bootstrap/bootstrap.c
+++ b/src/backend/bootstrap/bootstrap.c
@@ -29,6 +29,7 @@
#include "catalog/pg_collation.h"
#include "catalog/pg_type.h"
#include "common/link-canary.h"
+#include "crypto/bufenc.h"
#include "libpq/pqsignal.h"
#include "miscadmin.h"
#include "nodes/makefuncs.h"
diff --git a/src/backend/catalog/storage.c b/src/backend/catalog/storage.c
index cba7a9ada0..7f18020b9f 100644
--- a/src/backend/catalog/storage.c
+++ b/src/backend/catalog/storage.c
@@ -443,8 +443,9 @@ RelationCopyStorage(SMgrRelation src, SMgrRelation dst,
smgrread(src, forkNum, blkno, buf.data);
- if (!PageIsVerifiedExtended(page, blkno,
- PIV_LOG_WARNING | PIV_REPORT_STAT))
+ if (!PageIsVerifiedExtended(page, forkNum,
+ relpersistence == RELPERSISTENCE_PERMANENT,
+ blkno, PIV_LOG_WARNING | PIV_REPORT_STAT))
ereport(ERROR,
(errcode(ERRCODE_DATA_CORRUPTED),
errmsg("invalid page in block %u of relation %s",
@@ -461,6 +462,8 @@ RelationCopyStorage(SMgrRelation src, SMgrRelation dst,
if (use_wal)
log_newpage(&dst->smgr_rnode.node, forkNum, blkno, page, false);
+ PageEncryptInplace(page, forkNum,
+ relpersistence == RELPERSISTENCE_PERMANENT, blkno);
PageSetChecksumInplace(page, blkno);
/*
diff --git a/src/backend/crypto/Makefile b/src/backend/crypto/Makefile
index c27362029d..8985a66875 100644
--- a/src/backend/crypto/Makefile
+++ b/src/backend/crypto/Makefile
@@ -13,6 +13,7 @@ top_builddir = ../../..
include $(top_builddir)/src/Makefile.global
OBJS = \
+ bufenc.o \
kmgr.o
include $(top_srcdir)/src/backend/common.mk
diff --git a/src/backend/crypto/bufenc.c b/src/backend/crypto/bufenc.c
new file mode 100644
index 0000000000..0c70c131e1
--- /dev/null
+++ b/src/backend/crypto/bufenc.c
@@ -0,0 +1,174 @@
+/*-------------------------------------------------------------------------
+ *
+ * bufenc.c
+ *
+ * Copyright (c) 2020, PostgreSQL Global Development Group
+ *
+ *
+ * IDENTIFICATION
+ * src/backend/crypto/bufenc.c
+ *
+ *-------------------------------------------------------------------------
+ */
+
+#include "postgres.h"
+
+#include "miscadmin.h"
+#include "lib/stringinfo.h"
+
+#include "access/gist.h"
+#include "access/xlog.h"
+#include "crypto/bufenc.h"
+#include "storage/bufpage.h"
+#include "storage/fd.h"
+
+/*
+ * We use the page LSN, page number, and permanent-bit to indicate if a fake
+ * LSN was used to create a nonce for each page.
+ */
+#define BUFENC_IV_SIZE 16
+
+static unsigned char buf_encryption_iv[BUFENC_IV_SIZE];
+
+PgCipherCtx *BufEncCtx = NULL;
+PgCipherCtx *BufDecCtx = NULL;
+
+static void set_buffer_encryption_iv(Page page, BlockNumber blkno,
+ bool relation_is_permanent);
+
+void
+InitializeBufferEncryption(void)
+{
+ const CryptoKey *key;
+
+ if (!FileEncryptionEnabled)
+ return;
+
+ key = KmgrGetKey(KMGR_KEY_ID_REL);
+
+ BufEncCtx = pg_cipher_ctx_create(PG_CIPHER_AES_CTR,
+ (unsigned char *) key->key,
+ (key->klen), true);
+ if (!BufEncCtx)
+ elog(ERROR, "cannot intialize encryption context");
+
+ BufDecCtx = pg_cipher_ctx_create(PG_CIPHER_AES_CTR,
+ (unsigned char *) key->key,
+ (key->klen), false);
+ if (!BufDecCtx)
+ elog(ERROR, "cannot intialize decryption context");
+}
+
+/* Encrypt the given page with the relation key */
+void
+EncryptPage(Page page, bool relation_is_permanent, BlockNumber blkno)
+{
+ unsigned char *ptr = (unsigned char *) page + PageEncryptOffset;
+ bool is_gist_page_or_similar;
+
+ int enclen;
+
+ Assert(BufEncCtx != NULL);
+
+ /*
+ * Permanent pages have valid LSNs, and non-permanent pages usually have
+ * invalid (not set) LSNs. (One exception are GiST fake LSNs, see below.)
+ * However, we need valid ones on all pages for encryption. There are too
+ * many places that set the page LSN for permanent pages to do the same
+ * for non-permanent pages, so we just set it here.
+ *
+ * Also, while permanent relations get new LSNs every time the page is
+ * modified, for non-permanent relations do not, so we just update the LSN
+ * here before it is encrypted.
+ *
+ * GiST indexes uses LSNs, which are also stored in NSN fields, to detect
+ * page splits. Therefore, we allow the GiST code to assign LSNs and we
+ * don't change them here.
+ */
+
+ /* Permanent relations should already have valid LSNs. */
+ Assert(!XLogRecPtrIsInvalid(PageGetLSN(page)) || !relation_is_permanent);
+
+ /*
+ * Check if the page has a special size == GISTPageOpaqueData, a valid
+ * GIST_PAGE_ID, no invalid GiST flag bits are set, and a valid LSN. This
+ * is true for all GiST pages, and perhaps a few pages that are not. The
+ * only downside of guessing wrong is that we might not update the LSN for
+ * some non-permanent relation page changes, and therefore reuse the IV,
+ * which seems acceptable.
+ */
+ is_gist_page_or_similar =
+ (PageGetSpecialSize(page) == MAXALIGN(sizeof(GISTPageOpaqueData)) &&
+ GistPageGetOpaque(page)->gist_page_id == GIST_PAGE_ID &&
+ (GistPageGetOpaque(page)->flags & ~GIST_FLAG_BITMASK) == 0 &&
+ !XLogRecPtrIsInvalid(PageGetLSN(page)));
+
+ if (!relation_is_permanent && !is_gist_page_or_similar)
+ PageSetLSN(page, LSNForEncryption(relation_is_permanent));
+
+ set_buffer_encryption_iv(page, blkno, relation_is_permanent);
+ if (unlikely(!pg_cipher_encrypt(BufEncCtx, PG_CIPHER_AES_CTR,
+ (const unsigned char *) ptr, /* input */
+ SizeOfPageEncryption,
+ ptr, /* length */
+ &enclen, /* resulting length */
+ buf_encryption_iv, /* iv */
+ BUFENC_IV_SIZE,
+ NULL, 0)))
+ elog(ERROR, "cannot encrypt page %u", blkno);
+
+ Assert(enclen == SizeOfPageEncryption);
+}
+
+/* Decrypt the given page with the relation key */
+void
+DecryptPage(Page page, bool relation_is_permanent, BlockNumber blkno)
+{
+ unsigned char *ptr = (unsigned char *) page + PageEncryptOffset;
+ int enclen;
+
+ Assert(BufDecCtx != NULL);
+
+ set_buffer_encryption_iv(page, blkno, relation_is_permanent);
+ if (unlikely(!pg_cipher_decrypt(BufDecCtx, PG_CIPHER_AES_CTR,
+ (const unsigned char *) ptr, /* input */
+ SizeOfPageEncryption,
+ ptr, /* output */
+ &enclen, /* resulting length */
+ buf_encryption_iv, /* iv */
+ BUFENC_IV_SIZE,
+ NULL, 0)))
+ elog(ERROR, "cannot decrypt page %u", blkno);
+
+ Assert(enclen == SizeOfPageEncryption);
+}
+
+/* Construct iv for the given page */
+static void
+set_buffer_encryption_iv(Page page, BlockNumber blkno,
+ bool relation_is_permanent)
+{
+ unsigned char *p = buf_encryption_iv;
+
+ MemSet(buf_encryption_iv, 0, BUFENC_IV_SIZE);
+
+ /* page lsn (8 byte) */
+ memcpy(p, &((PageHeader) page)->pd_lsn, sizeof(PageXLogRecPtr));
+ p += sizeof(PageXLogRecPtr);
+
+ /* block number (4 byte) */
+ memcpy(p, &blkno, sizeof(BlockNumber));
+ p += sizeof(BlockNumber);
+
+ /*
+ * Mark use of fake LSNs in IV so if the real and fake LSN counters
+ * overlap, the IV will remain unique. XXX Is there a better value?
+ */
+ if (!relation_is_permanent)
+ *p++ = 0x80;
+
+ /*
+ * The maximum required counter for AES-CTR is 2048, which fits in the
+ * last three bytes.
+ */
+}
diff --git a/src/backend/postmaster/postmaster.c b/src/backend/postmaster/postmaster.c
index 11dd3eadff..df238c6260 100644
--- a/src/backend/postmaster/postmaster.c
+++ b/src/backend/postmaster/postmaster.c
@@ -100,6 +100,7 @@
#include "common/file_perm.h"
#include "common/ip.h"
#include "common/string.h"
+#include "crypto/bufenc.h"
#include "lib/ilist.h"
#include "libpq/auth.h"
#include "libpq/libpq.h"
@@ -1339,6 +1340,7 @@ PostmasterMain(int argc, char *argv[])
RemovePgTempFiles();
InitializeKmgr();
+ InitializeBufferEncryption();
if (terminal_fd != -1)
close(terminal_fd);
diff --git a/src/backend/storage/buffer/bufmgr.c b/src/backend/storage/buffer/bufmgr.c
index 367fed5e85..7d913e038a 100644
--- a/src/backend/storage/buffer/bufmgr.c
+++ b/src/backend/storage/buffer/bufmgr.c
@@ -37,6 +37,7 @@
#include "access/xlog.h"
#include "catalog/catalog.h"
#include "catalog/storage.h"
+#include "crypto/bufenc.h"
#include "executor/instrument.h"
#include "lib/binaryheap.h"
#include "miscadmin.h"
@@ -930,7 +931,9 @@ ReadBuffer_common(SMgrRelation smgr, char relpersistence, ForkNumber forkNum,
}
/* check for garbage data */
- if (!PageIsVerifiedExtended((Page) bufBlock, blockNum,
+ if (!PageIsVerifiedExtended((Page) bufBlock, forkNum,
+ relpersistence == RELPERSISTENCE_PERMANENT,
+ blockNum,
PIV_LOG_WARNING | PIV_REPORT_STAT))
{
if (mode == RBM_ZERO_ON_ERROR || zero_damaged_pages)
@@ -2810,12 +2813,24 @@ FlushBuffer(BufferDesc *buf, SMgrRelation reln)
*/
bufBlock = BufHdrGetBlock(buf);
+ if (FileEncryptionEnabled)
+ {
+ /*
+ * Technically BM_PERMANENT could indicate an init fork, but that's
+ * okay since forkNum would also tell us not to encrypt init forks.
+ */
+ bufToWrite = PageEncryptCopy((Page) bufBlock, buf->tag.forkNum,
+ buf_state & BM_PERMANENT, buf->tag.blockNum);
+ bufToWrite = PageSetChecksumCopy((Page) bufToWrite, buf->tag.blockNum);
+ }
+ else
+ bufToWrite = PageSetChecksumCopy((Page) bufBlock, buf->tag.blockNum);
+
/*
* Update page checksum if desired. Since we have only shared lock on the
* buffer, other processes might be updating hint bits in it, so we must
* copy the page to private storage if we do checksumming.
*/
- bufToWrite = PageSetChecksumCopy((Page) bufBlock, buf->tag.blockNum);
if (track_io_timing)
INSTR_TIME_SET_CURRENT(io_start);
@@ -3474,6 +3489,9 @@ FlushRelationBuffers(Relation rel)
errcallback.previous = error_context_stack;
error_context_stack = &errcallback;
+ /* XXX should we be writing a copy of the page here? */
+ PageEncryptInplace(localpage, bufHdr->tag.forkNum,
+ RelationIsPermanent(rel), bufHdr->tag.blockNum);
PageSetChecksumInplace(localpage, bufHdr->tag.blockNum);
smgrwrite(rel->rd_smgr,
diff --git a/src/backend/storage/buffer/localbuf.c b/src/backend/storage/buffer/localbuf.c
index 04b3558ea3..1033467885 100644
--- a/src/backend/storage/buffer/localbuf.c
+++ b/src/backend/storage/buffer/localbuf.c
@@ -159,7 +159,7 @@ LocalBufferAlloc(SMgrRelation smgr, ForkNumber forkNum, BlockNumber blockNum,
}
return bufHdr;
}
-
+
#ifdef LBDEBUG
fprintf(stderr, "LB ALLOC (%u,%d,%d) %d\n",
smgr->smgr_rnode.node.relNode, forkNum, blockNum,
@@ -217,6 +217,12 @@ LocalBufferAlloc(SMgrRelation smgr, ForkNumber forkNum, BlockNumber blockNum,
/* Find smgr relation for buffer */
oreln = smgropen(bufHdr->tag.rnode, MyBackendId);
+ /*
+ * Technically BM_PERMANENT could indicate an init fork, but that's
+ * okay since forkNum would also tell us not to encrypt init forks.
+ */
+ PageEncryptInplace(localpage, bufHdr->tag.forkNum,
+ buf_state & BM_PERMANENT, bufHdr->tag.blockNum);
PageSetChecksumInplace(localpage, bufHdr->tag.blockNum);
/* And write... */
diff --git a/src/backend/storage/file/copydir.c b/src/backend/storage/file/copydir.c
index da8b7cbeca..f41387abd3 100644
--- a/src/backend/storage/file/copydir.c
+++ b/src/backend/storage/file/copydir.c
@@ -22,6 +22,8 @@
#include <unistd.h>
#include <sys/stat.h>
+#include "access/xloginsert.h"
+#include "crypto/bufenc.h"
#include "miscadmin.h"
#include "pgstat.h"
#include "storage/copydir.h"
@@ -74,7 +76,7 @@ copydir(char *fromdir, char *todir, bool recurse)
copydir(fromfile, tofile, true);
}
else if (S_ISREG(fst.st_mode))
- copy_file(fromfile, tofile);
+ copy_file(fromfile, tofile, false);
}
FreeDir(xldir);
@@ -124,7 +126,7 @@ copydir(char *fromdir, char *todir, bool recurse)
* copy one file
*/
void
-copy_file(char *fromfile, char *tofile)
+copy_file(char *fromfile, char *tofile, bool encrypt_init_file)
{
char *buffer;
int srcfd;
@@ -132,9 +134,8 @@ copy_file(char *fromfile, char *tofile)
int nbytes;
off_t offset;
off_t flush_offset;
-
/* Size of copy buffer (read and write requests) */
-#define COPY_BUF_SIZE (8 * BLCKSZ)
+ int copy_buf_size = (encrypt_init_file) ? BLCKSZ : 8 * BLCKSZ;
/*
* Size of data flush requests. It seems beneficial on most platforms to
@@ -149,7 +150,7 @@ copy_file(char *fromfile, char *tofile)
#endif
/* Use palloc to ensure we get a maxaligned buffer */
- buffer = palloc(COPY_BUF_SIZE);
+ buffer = palloc(copy_buf_size);
/*
* Open the files
@@ -187,7 +188,7 @@ copy_file(char *fromfile, char *tofile)
}
pgstat_report_wait_start(WAIT_EVENT_COPY_FILE_READ);
- nbytes = read(srcfd, buffer, COPY_BUF_SIZE);
+ nbytes = read(srcfd, buffer, copy_buf_size);
pgstat_report_wait_end();
if (nbytes < 0)
ereport(ERROR,
@@ -195,6 +196,20 @@ copy_file(char *fromfile, char *tofile)
errmsg("could not read file \"%s\": %m", fromfile)));
if (nbytes == 0)
break;
+ /*
+ * When we copy an init fork page to be part of an empty unlogged
+ * relation, its real LSN must be replaced with a fake one, and the
+ * page encrypted.
+ */
+ if (encrypt_init_file)
+ {
+ Page page = (Page) buffer;
+
+ Assert(nbytes == BLCKSZ);
+ PageSetLSN(page, LSNForEncryption(false));
+ PageEncryptInplace(page, MAIN_FORKNUM, false, offset / BLCKSZ);
+ }
+
errno = 0;
pgstat_report_wait_start(WAIT_EVENT_COPY_FILE_WRITE);
if ((int) write(dstfd, buffer, nbytes) != nbytes)
diff --git a/src/backend/storage/file/reinit.c b/src/backend/storage/file/reinit.c
index 40c758d789..9953bb2e1f 100644
--- a/src/backend/storage/file/reinit.c
+++ b/src/backend/storage/file/reinit.c
@@ -300,7 +300,7 @@ ResetUnloggedRelationsInDbspaceDir(const char *dbspacedirname, int op)
/* OK, we're ready to perform the actual copy. */
elog(DEBUG2, "copying %s to %s", srcpath, dstpath);
- copy_file(srcpath, dstpath);
+ copy_file(srcpath, dstpath, true);
}
FreeDir(dbspace_dir);
diff --git a/src/backend/storage/page/bufpage.c b/src/backend/storage/page/bufpage.c
index 5d5989c2f5..28cc9d3b36 100644
--- a/src/backend/storage/page/bufpage.c
+++ b/src/backend/storage/page/bufpage.c
@@ -17,6 +17,7 @@
#include "access/htup_details.h"
#include "access/itup.h"
#include "access/xlog.h"
+#include "crypto/bufenc.h"
#include "pgstat.h"
#include "storage/checksum.h"
#include "utils/memdebug.h"
@@ -85,7 +86,8 @@ PageInit(Page page, Size pageSize, Size specialSize)
* to pgstat.
*/
bool
-PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags)
+PageIsVerifiedExtended(Page page, ForkNumber forknum, bool relation_is_permanent,
+ BlockNumber blkno, int flags)
{
PageHeader p = (PageHeader) page;
size_t *pagebytes;
@@ -108,6 +110,8 @@ PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags)
checksum_failure = true;
}
+ PageDecryptInplace(page, forknum, relation_is_permanent, blkno);
+
/*
* The following checks don't prove the header is correct, only that
* it looks sane enough to allow into the buffer pool. Later usage of
@@ -1433,3 +1437,48 @@ PageSetChecksumInplace(Page page, BlockNumber blkno)
((PageHeader) page)->pd_checksum = pg_checksum_page((char *) page, blkno);
}
+
+char *
+PageEncryptCopy(Page page, ForkNumber forknum, bool relation_is_permanent,
+ BlockNumber blkno)
+{
+ static char *pageCopy = NULL;
+
+ /* If we don't need a checksum, just return the passed-in data */
+ if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum))
+ return (char *) page;
+
+ /*
+ * We allocate the copy space once and use it over on each subsequent
+ * call. The point of palloc'ing here, rather than having a static char
+ * array, is first to ensure adequate alignment for the checksumming code
+ * and second to avoid wasting space in processes that never call this.
+ */
+ if (pageCopy == NULL)
+ pageCopy = MemoryContextAlloc(TopMemoryContext, BLCKSZ);
+
+ memcpy(pageCopy, (char *) page, BLCKSZ);
+ EncryptPage(pageCopy, relation_is_permanent, blkno);
+ return pageCopy;
+}
+
+void
+PageEncryptInplace(Page page, ForkNumber forknum, bool relation_is_permanent,
+ BlockNumber blkno)
+{
+ if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum))
+ return;
+
+ EncryptPage(page, relation_is_permanent, blkno);
+}
+
+
+void
+PageDecryptInplace(Page page, ForkNumber forknum, bool relation_is_permanent,
+ BlockNumber blkno)
+{
+ if (PageIsNew(page) || !PageNeedsToBeEncrypted(forknum))
+ return;
+
+ DecryptPage(page, relation_is_permanent, blkno);
+}
diff --git a/src/backend/tcop/postgres.c b/src/backend/tcop/postgres.c
index d36ac60da3..d667e6fbdb 100644
--- a/src/backend/tcop/postgres.c
+++ b/src/backend/tcop/postgres.c
@@ -42,6 +42,7 @@
#include "catalog/pg_type.h"
#include "commands/async.h"
#include "commands/prepare.h"
+#include "crypto/bufenc.h"
#include "executor/spi.h"
#include "jit/jit.h"
#include "libpq/libpq.h"
@@ -4039,6 +4040,7 @@ PostgresMain(int argc, char *argv[],
if (!IsUnderPostmaster)
{
InitializeKmgr();
+ InitializeBufferEncryption();
if (terminal_fd != -1)
close(terminal_fd);
diff --git a/src/include/access/gist.h b/src/include/access/gist.h
index 4b06575d98..04f11fb369 100644
--- a/src/include/access/gist.h
+++ b/src/include/access/gist.h
@@ -41,7 +41,7 @@
#define GISTNProcs 11
/*
- * Page opaque data in a GiST index page.
+ * Page opaque data flags in a GiST index page.
*/
#define F_LEAF (1 << 0) /* leaf page */
#define F_DELETED (1 << 1) /* the page has been deleted */
@@ -51,6 +51,9 @@
#define F_HAS_GARBAGE (1 << 4) /* some tuples on the page are dead,
* but not deleted yet */
+/* Specifies the bits that can be set in the GiST flags field */
+#define GIST_FLAG_BITMASK 0x1F
+
/*
* NSN (node sequence number) is a special-purpose LSN which is stored on each
* index page in GISTPageOpaqueData and updated only during page splits. By
diff --git a/src/include/crypto/bufenc.h b/src/include/crypto/bufenc.h
new file mode 100644
index 0000000000..cc86ceb821
--- /dev/null
+++ b/src/include/crypto/bufenc.h
@@ -0,0 +1,28 @@
+/*-------------------------------------------------------------------------
+ *
+ * bufenc.h
+ *
+ * Portions Copyright (c) 2021, PostgreSQL Global Development Group
+ *
+ * src/include/crypto/bufenc.h
+ *
+ *-------------------------------------------------------------------------
+ */
+#ifndef BUFENC_H
+#define BUFENC_H
+
+#include "storage/bufmgr.h"
+#include "crypto/kmgr.h"
+
+/* Cluster encryption encrypts only main forks */
+#define PageNeedsToBeEncrypted(forknum) \
+ (FileEncryptionEnabled && (forknum) == MAIN_FORKNUM)
+
+
+extern void InitializeBufferEncryption(void);
+extern void EncryptPage(Page page, bool relation_is_permanent,
+ BlockNumber blkno);
+extern void DecryptPage(Page page, bool relation_is_permanent,
+ BlockNumber blkno);
+
+#endif /* BUFENC_H */
diff --git a/src/include/storage/bufpage.h b/src/include/storage/bufpage.h
index 359b749f7f..f9d97e7c04 100644
--- a/src/include/storage/bufpage.h
+++ b/src/include/storage/bufpage.h
@@ -15,6 +15,7 @@
#define BUFPAGE_H
#include "access/xlogdefs.h"
+#include "common/relpath.h"
#include "storage/block.h"
#include "storage/item.h"
#include "storage/off.h"
@@ -164,6 +165,8 @@ typedef struct PageHeaderData
} PageHeaderData;
typedef PageHeaderData *PageHeader;
+#define PageEncryptOffset offsetof(PageHeaderData, pd_special)
+#define SizeOfPageEncryption (BLCKSZ - PageEncryptOffset)
/*
* pd_flags contains the following flag bits. Undefined bits are initialized
@@ -418,8 +421,8 @@ do { \
((overwrite) ? PAI_OVERWRITE : 0) | \
((is_heap) ? PAI_IS_HEAP : 0))
-#define PageIsVerified(page, blkno) \
- PageIsVerifiedExtended(page, blkno, \
+#define PageIsVerified(page, relation_is_permanent, blkno) \
+ PageIsVerifiedExtended(page, MAIN_FORKNUM, relation_is_permanent, blkno, \
PIV_LOG_WARNING | PIV_REPORT_STAT)
/*
@@ -433,7 +436,10 @@ StaticAssertDecl(BLCKSZ == ((BLCKSZ / sizeof(size_t)) * sizeof(size_t)),
"BLCKSZ has to be a multiple of sizeof(size_t)");
extern void PageInit(Page page, Size pageSize, Size specialSize);
-extern bool PageIsVerifiedExtended(Page page, BlockNumber blkno, int flags);
+extern bool PageIsVerifiedExtended(Page page, ForkNumber forknum,
+ bool relation_is_permanent,
+ BlockNumber blkno,
+ int flags);
extern OffsetNumber PageAddItemExtended(Page page, Item item, Size size,
OffsetNumber offsetNumber, int flags);
extern Page PageGetTempPage(Page page);
@@ -452,5 +458,11 @@ extern bool PageIndexTupleOverwrite(Page page, OffsetNumber offnum,
Item newtup, Size newsize);
extern char *PageSetChecksumCopy(Page page, BlockNumber blkno);
extern void PageSetChecksumInplace(Page page, BlockNumber blkno);
+extern char *PageEncryptCopy(Page page, ForkNumber forknum,
+ bool relation_is_permanent, BlockNumber blkno);
+extern void PageEncryptInplace(Page page, ForkNumber forknum,
+ bool relation_is_permanent, BlockNumber blkno);
+extern void PageDecryptInplace(Page page, ForkNumber forknum,
+ bool relation_is_permanent, BlockNumber blkno);
#endif /* BUFPAGE_H */
diff --git a/src/include/storage/copydir.h b/src/include/storage/copydir.h
index 2c3936b0da..669c04d581 100644
--- a/src/include/storage/copydir.h
+++ b/src/include/storage/copydir.h
@@ -14,6 +14,6 @@
#define COPYDIR_H
extern void copydir(char *fromdir, char *todir, bool recurse);
-extern void copy_file(char *fromfile, char *tofile);
+extern void copy_file(char *fromfile, char *tofile, bool encrypt_init_file);
#endif /* COPYDIR_H */
--
2.20.1
On Thu, Mar 18, 2021 at 2:59 PM Bruce Momjian <bruce@momjian.us> wrote:
Ultimately, we need to make sure that LSNs aren't re-used. There's two
sources of LSNs today: those for relations which are being written into
the WAL and those for relations which are not (UNLOGGED relations,
specifically). The 'minimal' WAL level introduces complications withWell, the story is a little more complex than that --- we currently have
four LSN uses:1. real LSNs for WAL-logged relfilenodes
2. real LSNs for GiST indexes for non-WAL-logged relfilenodes of permanenet relations
3. fake LSNs for GiST indexes for relfilenodes of non-permanenet relations
4. zero LSNs for non-GiST non-permanenet relationsThis patch changes it so #4 gets fake LSNs, and slightly adjusts #2 & #3
so the LSNs are always unique.
Hi!
This approach has a few disadvantages. For example, right now, we only
need to WAL log hints for the first write to each page after a
checkpoint, but in this approach, if the same page is written multiple
times per checkpoint cycle, we'd need to log hints every time. In some
workloads that could be quite expensive, especially if we log an FPI
every time.
Also, I think that all sorts of non-permanent relations currently get
zero LSNs, not just GiST. Every unlogged table and every temporary
table would need to use fake LSNs. Moreover, for unlogged tables, the
buffer manager would need changes, because it is otherwise going to
assume that anything it sees in the pd_lsn field other than a zero is
a real LSN.
So I would like to propose an alternative: store the nonce in the
page. Now the next question is where to put it. I think that putting
it into the page header would be far too invasive, so I propose that
we instead store it at the end of the page, as part of the special
space. That makes an awful lot of code not really notice that anything
is different, because it always thought that the usable space on the
page ended where the special space begins, and it doesn't really care
where that is exactly. The code that knows about the special space
might care a little bit, but whatever private data it's storing is
going to be at the beginning of the special space, and the nonce would
be stored - in this proposal - at the end of the special space. So it
turns out that it doesn't really care that much either.
Attached are a few WIP/POC patches from my colleague Bharath
implementing this. There are certainly some implementation
deficiencies here, which can be corrected if we decide this approach
is worth pursuing, but I think they are sufficient to show that the
approach is viable and also some of the consequences of going this
way. One thing that happens is that a bunch of values that used to be
constant - like TOAST_INDEX_TARGET and GinDataPageMaxDataSize - become
non-constant. I suggested to Bharath that he handle this by changing
those macros to take the nonce size as an argument, which is what the
patch does, although it missed pushing that idea down all the way in
some obscure case (e.g. SIGLEN_MAX). That has the down side that we
will now have more computation to do at runtime vs. compile-time. I am
unclear whether there would be enough impact to get exercised about,
but I'm hopeful that the answer is "no".
As written, the patch makes initdb take a --tde-nonce-size argument,
but that's really just for demonstration purposes. I assume that, if
we decide to go this way, we'd have an initdb option that selects
whether to use encryption, or perhaps the specific encryption
algorithm to be used, and then the nonce size would be computed based
on that, or else set to 0 if encryption is not in use.
Comments?
--
Robert Haas
EDB: http://www.enterprisedb.com
Attachments:
v1-0001-Provide-TDE-nonce-size-as-an-initdb-option.patchapplication/octet-stream; name=v1-0001-Provide-TDE-nonce-size-as-an-initdb-option.patchDownload
From e7dd925d8272f259d4e3946847612d969cca42b7 Mon Sep 17 00:00:00 2001
From: Bharath Rupireddy <bharath.rupireddy@enterprisedb.com>
Date: Mon, 17 May 2021 10:26:10 +0530
Subject: [PATCH v1] Provide TDE nonce size as an initdb option
Add an initdb option --tde-nonce-size with supported range from
0 to PG_UINT8_MAX in bytes. 0 being default value disables the
feature. If the size is specified in bytes, server reserves space
on each page of table, index etc. that's getting newly added.
See further patches for the main feature implementation.
---
src/backend/access/transam/xlog.c | 15 +++++++++++++
src/backend/bootstrap/bootstrap.c | 15 ++++++++++++-
src/backend/utils/init/globals.c | 2 ++
src/backend/utils/misc/guc.c | 13 +++++++++++
src/bin/initdb/initdb.c | 37 ++++++++++++++++++++++++++++++-
src/include/catalog/pg_control.h | 2 ++
src/include/miscadmin.h | 2 ++
7 files changed, 84 insertions(+), 2 deletions(-)
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index 8d163f190f..218aad275b 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -4680,6 +4680,7 @@ WriteControlFile(void)
ControlFile->relseg_size = RELSEG_SIZE;
ControlFile->xlog_blcksz = XLOG_BLCKSZ;
ControlFile->xlog_seg_size = wal_segment_size;
+ ControlFile->tde_nonce_size = tde_nonce_size;
ControlFile->nameDataLen = NAMEDATALEN;
ControlFile->indexMaxKeys = INDEX_MAX_KEYS;
@@ -4749,6 +4750,7 @@ ReadControlFile(void)
pg_crc32c crc;
int fd;
static char wal_segsz_str[20];
+ static char tde_nonce_size_str[5];
int r;
/*
@@ -4781,6 +4783,8 @@ ReadControlFile(void)
close(fd);
+ tde_nonce_size = ControlFile->tde_nonce_size;
+
/*
* Check for expected pg_control format version. If this is wrong, the
* CRC check will likely fail because we'll be checking the wrong number
@@ -4928,6 +4932,17 @@ ReadControlFile(void)
ereport(ERROR, (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
errmsg("\"max_wal_size\" must be at least twice \"wal_segment_size\"")));
+ if (tde_nonce_size > PG_UINT8_MAX || tde_nonce_size < 0)
+ ereport(ERROR, (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("TDE nonce size %d is out of range",
+ ControlFile->tde_nonce_size),
+ errdetail("TDE nonce size must be between 0 and %d.", (int) PG_UINT8_MAX),
+ errhint("It looks like you need to initdb.")));
+
+ snprintf(tde_nonce_size_str, sizeof(tde_nonce_size_str), "%d", tde_nonce_size);
+ SetConfigOption("tde_nonce_size", tde_nonce_size_str, PGC_INTERNAL,
+ PGC_S_OVERRIDE);
+
UsableBytesInSegment =
(wal_segment_size / XLOG_BLCKSZ * UsableBytesInPage) -
(SizeOfXLogLongPHD - SizeOfXLogShortPHD);
diff --git a/src/backend/bootstrap/bootstrap.c b/src/backend/bootstrap/bootstrap.c
index b155237488..f74387017b 100644
--- a/src/backend/bootstrap/bootstrap.c
+++ b/src/backend/bootstrap/bootstrap.c
@@ -225,7 +225,7 @@ AuxiliaryProcessMain(int argc, char *argv[])
/* If no -x argument, we are a CheckerProcess */
MyAuxProcType = CheckerProcess;
- while ((flag = getopt(argc, argv, "B:c:d:D:Fkr:x:X:-:")) != -1)
+ while ((flag = getopt(argc, argv, "B:c:d:D:Fkr:T:x:X:-:")) != -1)
{
switch (flag)
{
@@ -299,6 +299,19 @@ AuxiliaryProcessMain(int argc, char *argv[])
free(value);
break;
}
+ case 'T':
+ {
+ unsigned long val = strtoul(optarg, NULL, 0);
+
+ if (val > PG_UINT8_MAX || val < 0)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("TDE nonce option -T requires a value between 0 and %d", PG_UINT8_MAX)));
+
+ SetConfigOption("tde_nonce_size", optarg, PGC_INTERNAL,
+ PGC_S_OVERRIDE);
+ }
+ break;
default:
write_stderr("Try \"%s --help\" for more information.\n",
progname);
diff --git a/src/backend/utils/init/globals.c b/src/backend/utils/init/globals.c
index 381d9e548d..91763c95ad 100644
--- a/src/backend/utils/init/globals.c
+++ b/src/backend/utils/init/globals.c
@@ -150,3 +150,5 @@ int64 VacuumPageDirty = 0;
int VacuumCostBalance = 0; /* working state for vacuum */
bool VacuumCostActive = false;
+
+int tde_nonce_size = 0;
diff --git a/src/backend/utils/misc/guc.c b/src/backend/utils/misc/guc.c
index ee731044b6..118191d976 100644
--- a/src/backend/utils/misc/guc.c
+++ b/src/backend/utils/misc/guc.c
@@ -3221,6 +3221,19 @@ static struct config_int ConfigureNamesInt[] =
NULL, NULL, NULL
},
+ {
+ {"tde_nonce_size", PGC_INTERNAL, PRESET_OPTIONS,
+ gettext_noop("Shows the size of TDE nonce."),
+ NULL,
+ GUC_NOT_IN_SAMPLE | GUC_DISALLOW_IN_FILE
+ },
+ &tde_nonce_size,
+ 0,
+ 0,
+ PG_UINT8_MAX,
+ NULL, NULL, NULL
+ },
+
{
{"autovacuum_naptime", PGC_SIGHUP, AUTOVACUUM,
gettext_noop("Time to sleep between autovacuum runs."),
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 152d21e88b..1af215abe3 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -147,6 +147,8 @@ static bool data_checksums = false;
static char *xlog_dir = NULL;
static char *str_wal_segment_size_mb = NULL;
static int wal_segment_size_mb;
+static char *str_tde_nonce_size_b = NULL;
+static unsigned char tde_nonce_size_b;
/* internal vars */
@@ -1403,9 +1405,10 @@ bootstrap_template1(void)
unsetenv("PGCLIENTENCODING");
snprintf(cmd, sizeof(cmd),
- "\"%s\" --boot -x1 -X %u %s %s %s",
+ "\"%s\" --boot -x1 -X %u -T %d %s %s %s",
backend_exec,
wal_segment_size_mb * (1024 * 1024),
+ tde_nonce_size_b,
data_checksums ? "-k" : "",
boot_options,
debug ? "-d 5" : "");
@@ -2262,6 +2265,7 @@ usage(const char *progname)
printf(_(" -W, --pwprompt prompt for a password for the new superuser\n"));
printf(_(" -X, --waldir=WALDIR location for the write-ahead log directory\n"));
printf(_(" --wal-segsize=SIZE size of WAL segments, in megabytes\n"));
+ printf(_(" --tde-nonce-size=SIZE size of TDE nonce in bytes\n"));
printf(_("\nLess commonly used options:\n"));
printf(_(" -d, --debug generate lots of debugging output\n"));
printf(_(" -L DIRECTORY where to find the input files\n"));
@@ -2943,6 +2947,7 @@ main(int argc, char *argv[])
{"wal-segsize", required_argument, NULL, 12},
{"data-checksums", no_argument, NULL, 'k'},
{"allow-group-access", no_argument, NULL, 'g'},
+ {"tde-nonce-size", required_argument, NULL, 14},
{NULL, 0, NULL, 0}
};
@@ -3084,6 +3089,9 @@ main(int argc, char *argv[])
case 'g':
SetDataDirectoryCreatePerm(PG_DIR_MODE_GROUP);
break;
+ case 14:
+ str_tde_nonce_size_b = pg_strdup(optarg);;
+ break;
default:
/* getopt_long already emitted a complaint */
fprintf(stderr, _("Try \"%s --help\" for more information.\n"),
@@ -3170,6 +3178,33 @@ main(int argc, char *argv[])
}
}
+ /* set TDE nonce size */
+ if (str_tde_nonce_size_b == NULL)
+ tde_nonce_size_b = 0;
+ else
+ {
+ char *endptr;
+ long val;
+
+ /* check that the argument is a number */
+ val = strtol(str_tde_nonce_size_b, &endptr, 10);
+
+ /* verify that TDE nonce size is valid */
+ if (endptr == str_tde_nonce_size_b || *endptr != '\0')
+ {
+ pg_log_error("argument of --tde-nonce-size must be a number");
+ exit(1);
+ }
+
+ if (val > PG_UINT8_MAX || val < 0)
+ {
+ pg_log_error("argument of --tde-nonce-size must be between 0 and %d", PG_UINT8_MAX);
+ exit(1);
+ }
+
+ tde_nonce_size_b = val;
+ }
+
get_restricted_token();
setup_pgdata();
diff --git a/src/include/catalog/pg_control.h b/src/include/catalog/pg_control.h
index e3f48158ce..2e34bdc6ab 100644
--- a/src/include/catalog/pg_control.h
+++ b/src/include/catalog/pg_control.h
@@ -226,6 +226,8 @@ typedef struct ControlFileData
*/
char mock_authentication_nonce[MOCK_AUTH_NONCE_LEN];
+ uint8 tde_nonce_size; /* size of TDE nonce */
+
/* CRC of all above ... MUST BE LAST! */
pg_crc32c crc;
} ControlFileData;
diff --git a/src/include/miscadmin.h b/src/include/miscadmin.h
index 4dc343cbc5..dc9bee3e0c 100644
--- a/src/include/miscadmin.h
+++ b/src/include/miscadmin.h
@@ -275,6 +275,8 @@ extern int64 VacuumPageDirty;
extern int VacuumCostBalance;
extern bool VacuumCostActive;
+extern int tde_nonce_size;
+
/* in tcop/postgres.c */
--
2.25.1
v1-0003-Adjust-tests-for-configurable-TDE-nonce-size.patchapplication/octet-stream; name=v1-0003-Adjust-tests-for-configurable-TDE-nonce-size.patchDownload
From ba8078561fa3ae8b2aa82abf81e1cd24206fd9e5 Mon Sep 17 00:00:00 2001
From: Bharath Rupireddy <bharath.rupireddy@enterprisedb.com>
Date: Mon, 17 May 2021 12:39:28 +0530
Subject: [PATCH v1] Adjust tests for configurable TDE nonce size
Some of test outputs are dependent on the TDE nonce size, adjust
them so that make check and make check-world pass. These adjustments
are tested for nonce sizes 0, 11, 12, 13 bytes and might see more
differences with other nonce sizes.
---
contrib/hstore/expected/hstore.out | 10 +++----
contrib/hstore/sql/hstore.sql | 4 +--
contrib/intarray/expected/_int.out | 16 ++++++------
contrib/intarray/sql/_int.sql | 6 ++---
contrib/ltree/expected/ltree.out | 20 +++++++-------
contrib/ltree/sql/ltree.sql | 8 +++---
contrib/pageinspect/expected/btree.out | 2 +-
contrib/pageinspect/expected/hash.out | 2 +-
.../pageinspect/expected/oldextversions.out | 2 +-
contrib/pageinspect/expected/page.out | 26 +++++++++----------
contrib/pg_trgm/expected/pg_trgm.out | 10 +++----
contrib/pg_trgm/sql/pg_trgm.sql | 4 +--
src/test/regress/expected/insert.out | 2 +-
src/test/regress/expected/tsearch.out | 4 +--
src/test/regress/expected/vacuum.out | 4 +--
src/test/regress/sql/insert.sql | 2 +-
src/test/regress/sql/vacuum.sql | 4 +--
17 files changed, 63 insertions(+), 63 deletions(-)
diff --git a/contrib/hstore/expected/hstore.out b/contrib/hstore/expected/hstore.out
index 64a3272b9c..305c7fd83f 100644
--- a/contrib/hstore/expected/hstore.out
+++ b/contrib/hstore/expected/hstore.out
@@ -1347,11 +1347,11 @@ select count(*) from testhstore where h ?& ARRAY['public','disabled'];
drop index hidx;
create index hidx on testhstore using gist(h gist_hstore_ops(siglen=0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2025));
-ERROR: value 2025 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2024));
+DETAIL: Valid values are between "1" and "2016".
+create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2017));
+ERROR: value 2017 out of bounds for option "siglen"
+DETAIL: Valid values are between "1" and "2016".
+create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2016));
set enable_seqscan=off;
select count(*) from testhstore where h @> 'wait=>NULL';
count
diff --git a/contrib/hstore/sql/hstore.sql b/contrib/hstore/sql/hstore.sql
index a59db66b0a..288a1de28f 100644
--- a/contrib/hstore/sql/hstore.sql
+++ b/contrib/hstore/sql/hstore.sql
@@ -306,8 +306,8 @@ select count(*) from testhstore where h ?& ARRAY['public','disabled'];
drop index hidx;
create index hidx on testhstore using gist(h gist_hstore_ops(siglen=0));
-create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2025));
-create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2024));
+create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2017));
+create index hidx on testhstore using gist(h gist_hstore_ops(siglen=2016));
set enable_seqscan=off;
select count(*) from testhstore where h @> 'wait=>NULL';
diff --git a/contrib/intarray/expected/_int.out b/contrib/intarray/expected/_int.out
index a09d40efa1..8327caf655 100644
--- a/contrib/intarray/expected/_int.out
+++ b/contrib/intarray/expected/_int.out
@@ -550,11 +550,11 @@ SELECT count(*) from test__int WHERE a @@ '!20 & !21';
DROP INDEX text_idx;
CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 0));
ERROR: value 0 out of bounds for option "numranges"
-DETAIL: Valid values are between "1" and "252".
+DETAIL: Valid values are between "1" and "251".
CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 253));
ERROR: value 253 out of bounds for option "numranges"
-DETAIL: Valid values are between "1" and "252".
-CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 252));
+DETAIL: Valid values are between "1" and "251".
+CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 251));
SELECT count(*) from test__int WHERE a && '{23,50}';
count
-------
@@ -630,11 +630,11 @@ SELECT count(*) from test__int WHERE a @@ '!20 & !21';
DROP INDEX text_idx;
CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2025));
-ERROR: value 2025 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2024));
+DETAIL: Valid values are between "1" and "2016".
+CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2017));
+ERROR: value 2017 out of bounds for option "siglen"
+DETAIL: Valid values are between "1" and "2016".
+CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2016));
SELECT count(*) from test__int WHERE a && '{23,50}';
count
-------
diff --git a/contrib/intarray/sql/_int.sql b/contrib/intarray/sql/_int.sql
index b26fc57e4d..c2399866d0 100644
--- a/contrib/intarray/sql/_int.sql
+++ b/contrib/intarray/sql/_int.sql
@@ -113,7 +113,7 @@ SELECT count(*) from test__int WHERE a @@ '!20 & !21';
DROP INDEX text_idx;
CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 0));
CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 253));
-CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 252));
+CREATE INDEX text_idx on test__int using gist (a gist__int_ops(numranges = 251));
SELECT count(*) from test__int WHERE a && '{23,50}';
SELECT count(*) from test__int WHERE a @@ '23|50';
@@ -130,8 +130,8 @@ SELECT count(*) from test__int WHERE a @@ '!20 & !21';
DROP INDEX text_idx;
CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 0));
-CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2025));
-CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2024));
+CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2017));
+CREATE INDEX text_idx on test__int using gist (a gist__intbig_ops(siglen = 2016));
SELECT count(*) from test__int WHERE a && '{23,50}';
SELECT count(*) from test__int WHERE a @@ '23|50';
diff --git a/contrib/ltree/expected/ltree.out b/contrib/ltree/expected/ltree.out
index c6d8f3ef75..4a1c83d74f 100644
--- a/contrib/ltree/expected/ltree.out
+++ b/contrib/ltree/expected/ltree.out
@@ -7821,11 +7821,11 @@ SELECT * FROM ltreetest WHERE t ? '{23.*.1,23.*.2}' order by t asc;
drop index tstidx;
create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2025));
-ERROR: value 2025 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2024));
+DETAIL: Valid values are between "1" and "2016".
+create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2017));
+ERROR: value 2017 out of bounds for option "siglen"
+DETAIL: Valid values are between "1" and "2016".
+create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2016));
SELECT count(*) FROM ltreetest WHERE t < '12.3';
count
-------
@@ -8025,11 +8025,11 @@ SELECT count(*) FROM _ltreetest WHERE t ? '{23.*.1,23.*.2}' ;
drop index _tstidx;
create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2025));
-ERROR: value 2025 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2024));
+DETAIL: Valid values are between "1" and "2016".
+create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2017));
+ERROR: value 2017 out of bounds for option "siglen"
+DETAIL: Valid values are between "1" and "2016".
+create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2016));
SELECT count(*) FROM _ltreetest WHERE t @> '1.1.1' ;
count
-------
diff --git a/contrib/ltree/sql/ltree.sql b/contrib/ltree/sql/ltree.sql
index bf733ed17b..9e8af68eff 100644
--- a/contrib/ltree/sql/ltree.sql
+++ b/contrib/ltree/sql/ltree.sql
@@ -324,8 +324,8 @@ SELECT * FROM ltreetest WHERE t ? '{23.*.1,23.*.2}' order by t asc;
drop index tstidx;
create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=0));
-create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2025));
-create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2024));
+create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2017));
+create index tstidx on ltreetest using gist (t gist_ltree_ops(siglen=2016));
SELECT count(*) FROM ltreetest WHERE t < '12.3';
SELECT count(*) FROM ltreetest WHERE t <= '12.3';
@@ -370,8 +370,8 @@ SELECT count(*) FROM _ltreetest WHERE t ? '{23.*.1,23.*.2}' ;
drop index _tstidx;
create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=0));
-create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2025));
-create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2024));
+create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2017));
+create index _tstidx on _ltreetest using gist (t gist__ltree_ops(siglen=2016));
SELECT count(*) FROM _ltreetest WHERE t @> '1.1.1' ;
SELECT count(*) FROM _ltreetest WHERE t <@ '1.1.1' ;
diff --git a/contrib/pageinspect/expected/btree.out b/contrib/pageinspect/expected/btree.out
index c60bc88560..e43422a0c9 100644
--- a/contrib/pageinspect/expected/btree.out
+++ b/contrib/pageinspect/expected/btree.out
@@ -26,7 +26,7 @@ live_items | 1
dead_items | 0
avg_item_size | 16
page_size | 8192
-free_size | 8128
+free_size | 8112
btpo_prev | 0
btpo_next | 0
btpo_level | 0
diff --git a/contrib/pageinspect/expected/hash.out b/contrib/pageinspect/expected/hash.out
index bd0628d013..853ef6922d 100644
--- a/contrib/pageinspect/expected/hash.out
+++ b/contrib/pageinspect/expected/hash.out
@@ -51,7 +51,7 @@ hash_metapage_info(get_raw_page('test_hash_a_idx', 0));
magic | 105121344
version | 4
ntuples | 1
-bsize | 8152
+bsize | 8136
bmsize | 4096
bmshift | 15
maxbucket | 3
diff --git a/contrib/pageinspect/expected/oldextversions.out b/contrib/pageinspect/expected/oldextversions.out
index 04dc7f8640..6b9c3dcb1a 100644
--- a/contrib/pageinspect/expected/oldextversions.out
+++ b/contrib/pageinspect/expected/oldextversions.out
@@ -27,7 +27,7 @@ SELECT page_checksum(get_raw_page('test1', 0), 0) IS NOT NULL AS silly_checksum_
SELECT * FROM bt_page_stats('test1_a_idx', 1);
blkno | type | live_items | dead_items | avg_item_size | page_size | free_size | btpo_prev | btpo_next | btpo | btpo_flags
-------+------+------------+------------+---------------+-----------+-----------+-----------+-----------+------+------------
- 1 | l | 1 | 0 | 16 | 8192 | 8128 | 0 | 0 | 0 | 3
+ 1 | l | 1 | 0 | 16 | 8192 | 8112 | 0 | 0 | 0 | 3
(1 row)
SELECT * FROM bt_page_items('test1_a_idx', 1);
diff --git a/contrib/pageinspect/expected/page.out b/contrib/pageinspect/expected/page.out
index 4da28f0a1d..81eccc3443 100644
--- a/contrib/pageinspect/expected/page.out
+++ b/contrib/pageinspect/expected/page.out
@@ -69,19 +69,19 @@ SELECT tuple_data_split('test1'::regclass, t_data, t_infomask, t_infomask2, t_bi
SELECT * FROM fsm_page_contents(get_raw_page('test1', 'fsm', 0));
fsm_page_contents
-------------------
- 0: 254 +
- 1: 254 +
- 3: 254 +
- 7: 254 +
- 15: 254 +
- 31: 254 +
- 63: 254 +
- 127: 254 +
- 255: 254 +
- 511: 254 +
- 1023: 254 +
- 2047: 254 +
- 4095: 254 +
+ 0: 253 +
+ 1: 253 +
+ 3: 253 +
+ 7: 253 +
+ 15: 253 +
+ 31: 253 +
+ 63: 253 +
+ 127: 253 +
+ 255: 253 +
+ 511: 253 +
+ 1023: 253 +
+ 2047: 253 +
+ 4095: 253 +
fp_next_slot: 0 +
(1 row)
diff --git a/contrib/pg_trgm/expected/pg_trgm.out b/contrib/pg_trgm/expected/pg_trgm.out
index 20141ce7f3..567fdb9d38 100644
--- a/contrib/pg_trgm/expected/pg_trgm.out
+++ b/contrib/pg_trgm/expected/pg_trgm.out
@@ -2366,11 +2366,11 @@ select count(*) from test_trgm where t ~ '[qwerty]{2}-?[qwerty]{2}';
drop index trgm_idx;
create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2025));
-ERROR: value 2025 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
-create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2024));
+DETAIL: Valid values are between "1" and "2016".
+create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2017));
+ERROR: value 2017 out of bounds for option "siglen"
+DETAIL: Valid values are between "1" and "2016".
+create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2016));
set enable_seqscan=off;
select t,similarity(t,'qwertyu0988') as sml from test_trgm where t % 'qwertyu0988' order by sml desc, t;
t | sml
diff --git a/contrib/pg_trgm/sql/pg_trgm.sql b/contrib/pg_trgm/sql/pg_trgm.sql
index 6a9da24d5a..85354be2bc 100644
--- a/contrib/pg_trgm/sql/pg_trgm.sql
+++ b/contrib/pg_trgm/sql/pg_trgm.sql
@@ -48,8 +48,8 @@ select count(*) from test_trgm where t ~ '[qwerty]{2}-?[qwerty]{2}';
drop index trgm_idx;
create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=0));
-create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2025));
-create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2024));
+create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2017));
+create index trgm_idx on test_trgm using gist (t gist_trgm_ops(siglen=2016));
set enable_seqscan=off;
select t,similarity(t,'qwertyu0988') as sml from test_trgm where t % 'qwertyu0988' order by sml desc, t;
diff --git a/src/test/regress/expected/insert.out b/src/test/regress/expected/insert.out
index 5063a3dc22..82f6b27167 100644
--- a/src/test/regress/expected/insert.out
+++ b/src/test/regress/expected/insert.out
@@ -100,7 +100,7 @@ SELECT pg_size_pretty(pg_relation_size('large_tuple_test'::regclass, 'main'));
INSERT INTO large_tuple_test (select 3, NULL);
-- now this tuple won't fit on the second page, but the insert should
-- still succeed by extending the relation
-INSERT INTO large_tuple_test (select 4, repeat('a', 8126));
+INSERT INTO large_tuple_test (select 4, repeat('a', 8062));
DROP TABLE large_tuple_test;
--
-- check indirection (field/array assignment), cf bug #14265
diff --git a/src/test/regress/expected/tsearch.out b/src/test/regress/expected/tsearch.out
index 45b92a6338..ed1d33351f 100644
--- a/src/test/regress/expected/tsearch.out
+++ b/src/test/regress/expected/tsearch.out
@@ -517,10 +517,10 @@ CREATE INDEX wowidx1 ON test_tsvector USING gist (a tsvector_ops(foo=1));
ERROR: unrecognized parameter "foo"
CREATE INDEX wowidx1 ON test_tsvector USING gist (a tsvector_ops(siglen=0));
ERROR: value 0 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
+DETAIL: Valid values are between "1" and "2016".
CREATE INDEX wowidx1 ON test_tsvector USING gist (a tsvector_ops(siglen=2048));
ERROR: value 2048 out of bounds for option "siglen"
-DETAIL: Valid values are between "1" and "2024".
+DETAIL: Valid values are between "1" and "2016".
CREATE INDEX wowidx1 ON test_tsvector USING gist (a tsvector_ops(siglen=100,foo='bar'));
ERROR: unrecognized parameter "foo"
CREATE INDEX wowidx1 ON test_tsvector USING gist (a tsvector_ops(siglen=100, siglen = 200));
diff --git a/src/test/regress/expected/vacuum.out b/src/test/regress/expected/vacuum.out
index 90cea6caa8..4edccf485f 100644
--- a/src/test/regress/expected/vacuum.out
+++ b/src/test/regress/expected/vacuum.out
@@ -134,7 +134,7 @@ CREATE TABLE no_index_cleanup (i INT PRIMARY KEY, t TEXT);
CREATE INDEX no_index_cleanup_idx ON no_index_cleanup(t);
ALTER TABLE no_index_cleanup ALTER COLUMN t SET STORAGE EXTERNAL;
INSERT INTO no_index_cleanup(i, t) VALUES (generate_series(1,30),
- repeat('1234567890',269));
+ repeat('1234567890',268));
-- index cleanup option is ignored if VACUUM FULL
VACUUM (INDEX_CLEANUP TRUE, FULL TRUE) no_index_cleanup;
VACUUM (FULL TRUE) no_index_cleanup;
@@ -148,7 +148,7 @@ ALTER TABLE no_index_cleanup SET (vacuum_index_cleanup = true);
VACUUM no_index_cleanup;
-- Parameter is set for both the parent table and its toast relation.
INSERT INTO no_index_cleanup(i, t) VALUES (generate_series(31,60),
- repeat('1234567890',269));
+ repeat('1234567890',268));
DELETE FROM no_index_cleanup WHERE i < 45;
-- Only toast index is cleaned up.
ALTER TABLE no_index_cleanup SET (vacuum_index_cleanup = false,
diff --git a/src/test/regress/sql/insert.sql b/src/test/regress/sql/insert.sql
index bfaa8a3b27..3822a755f6 100644
--- a/src/test/regress/sql/insert.sql
+++ b/src/test/regress/sql/insert.sql
@@ -55,7 +55,7 @@ INSERT INTO large_tuple_test (select 3, NULL);
-- now this tuple won't fit on the second page, but the insert should
-- still succeed by extending the relation
-INSERT INTO large_tuple_test (select 4, repeat('a', 8126));
+INSERT INTO large_tuple_test (select 4, repeat('a', 8062));
DROP TABLE large_tuple_test;
diff --git a/src/test/regress/sql/vacuum.sql b/src/test/regress/sql/vacuum.sql
index 93fd258fc0..f44460ba53 100644
--- a/src/test/regress/sql/vacuum.sql
+++ b/src/test/regress/sql/vacuum.sql
@@ -115,7 +115,7 @@ CREATE TABLE no_index_cleanup (i INT PRIMARY KEY, t TEXT);
CREATE INDEX no_index_cleanup_idx ON no_index_cleanup(t);
ALTER TABLE no_index_cleanup ALTER COLUMN t SET STORAGE EXTERNAL;
INSERT INTO no_index_cleanup(i, t) VALUES (generate_series(1,30),
- repeat('1234567890',269));
+ repeat('1234567890',268));
-- index cleanup option is ignored if VACUUM FULL
VACUUM (INDEX_CLEANUP TRUE, FULL TRUE) no_index_cleanup;
VACUUM (FULL TRUE) no_index_cleanup;
@@ -129,7 +129,7 @@ ALTER TABLE no_index_cleanup SET (vacuum_index_cleanup = true);
VACUUM no_index_cleanup;
-- Parameter is set for both the parent table and its toast relation.
INSERT INTO no_index_cleanup(i, t) VALUES (generate_series(31,60),
- repeat('1234567890',269));
+ repeat('1234567890',268));
DELETE FROM no_index_cleanup WHERE i < 45;
-- Only toast index is cleaned up.
ALTER TABLE no_index_cleanup SET (vacuum_index_cleanup = false,
--
2.25.1
v1-0002-Add-TDE-nonce-bytes-to-page-pd_special-structure.patchapplication/octet-stream; name=v1-0002-Add-TDE-nonce-bytes-to-page-pd_special-structure.patchDownload
From b51be901d7ffe0124b74eefc27531e99ec65feb4 Mon Sep 17 00:00:00 2001
From: Bharath Rupireddy <bharath.rupireddy@enterprisedb.com>
Date: Mon, 17 May 2021 12:07:35 +0530
Subject: [PATCH v1] Add TDE nonce bytes to page pd_special structure
Add TDE nonce bytes of size tde_nonce_size to page pd_special
structure while initializing the page in PageInit. For index pages,
MAXALIGN the nonce bytes with the existing structure i.e.
MAXALIGN(index_structure + nonce bytes). For heap pages, just
MAXALIGN(nonce bytes) and pd_special pointer points to nonce bytes.
The nonce value in the page will be store at the end of the page.
Since the nonce size is a run-time (initdb) option, some of the
macros were parameterized.
---
contrib/amcheck/verify_heapam.c | 12 +++--
contrib/amcheck/verify_nbtree.c | 8 +--
contrib/bloom/bloom.h | 26 ++++++----
contrib/bloom/blutils.c | 11 ++--
contrib/bloom/blvacuum.c | 4 +-
contrib/hstore/hstore_gist.c | 3 +-
contrib/intarray/_int.h | 5 +-
contrib/ltree/ltree.h | 4 +-
contrib/pageinspect/brinfuncs.c | 2 +-
contrib/pageinspect/fsmfuncs.c | 2 +-
contrib/pageinspect/ginfuncs.c | 6 ++-
contrib/pageinspect/hashfuncs.c | 3 +-
contrib/pg_surgery/heap_surgery.c | 4 +-
contrib/pg_trgm/trgm.h | 3 +-
contrib/pgstattuple/pgstatapprox.c | 3 +-
contrib/pgstattuple/pgstatindex.c | 2 +-
contrib/pgstattuple/pgstattuple.c | 3 +-
src/backend/access/brin/brin_bloom.c | 14 ++---
src/backend/access/brin/brin_minmax_multi.c | 14 ++---
src/backend/access/brin/brin_pageops.c | 19 ++++---
src/backend/access/brin/brin_revmap.c | 22 ++++----
src/backend/access/brin/brin_tuple.c | 3 +-
src/backend/access/common/indextuple.c | 3 +-
src/backend/access/common/reloptions.c | 10 +++-
src/backend/access/common/toast_internals.c | 4 +-
src/backend/access/gin/gindatapage.c | 41 +++++++--------
src/backend/access/gin/ginentrypage.c | 4 +-
src/backend/access/gin/ginfast.c | 13 +++--
src/backend/access/gin/gininsert.c | 7 ++-
src/backend/access/gin/ginvacuum.c | 4 +-
src/backend/access/gin/ginxlog.c | 6 +--
src/backend/access/gist/gist.c | 4 +-
src/backend/access/gist/gistbuild.c | 2 +
src/backend/access/gist/gistget.c | 8 +--
src/backend/access/gist/gistutil.c | 5 +-
src/backend/access/hash/hash.c | 4 +-
src/backend/access/hash/hashinsert.c | 4 +-
src/backend/access/hash/hashovfl.c | 6 +--
src/backend/access/hash/hashpage.c | 6 +--
src/backend/access/hash/hashsearch.c | 10 ++--
src/backend/access/hash/hashutil.c | 4 +-
src/backend/access/heap/heapam.c | 19 +++----
src/backend/access/heap/heapam_handler.c | 16 +++---
src/backend/access/heap/heaptoast.c | 27 ++++++----
src/backend/access/heap/hio.c | 8 +--
src/backend/access/heap/pruneheap.c | 18 +++----
src/backend/access/heap/rewriteheap.c | 7 +--
src/backend/access/heap/vacuumlazy.c | 19 +++----
src/backend/access/heap/visibilitymap.c | 42 ++++++++-------
src/backend/access/nbtree/nbtdedup.c | 4 +-
src/backend/access/nbtree/nbtinsert.c | 4 +-
src/backend/access/nbtree/nbtpage.c | 11 ++--
src/backend/access/nbtree/nbtree.c | 4 +-
src/backend/access/nbtree/nbtsort.c | 5 +-
src/backend/access/nbtree/nbtsplitloc.c | 2 +-
src/backend/access/nbtree/nbtutils.c | 8 +--
src/backend/access/nbtree/nbtxlog.c | 6 +--
src/backend/access/spgist/spgdoinsert.c | 28 +++++-----
src/backend/access/spgist/spgscan.c | 2 +-
src/backend/access/spgist/spgutils.c | 8 +--
src/backend/access/spgist/spgvacuum.c | 22 ++++----
src/backend/access/transam/xlog.c | 6 +--
src/backend/nodes/tidbitmap.c | 23 +++++----
.../replication/logical/reorderbuffer.c | 2 +-
src/backend/storage/freespace/freespace.c | 51 +++++++++++--------
src/backend/storage/freespace/fsmpage.c | 21 ++++----
src/backend/storage/page/bufpage.c | 25 ++++++---
src/backend/utils/adt/selfuncs.c | 2 +-
src/backend/utils/adt/tsgistidx.c | 4 +-
src/bin/pg_resetwal/pg_resetwal.c | 4 +-
src/include/access/brin_page.h | 8 +--
src/include/access/ginblock.h | 22 ++++----
src/include/access/gist.h | 9 ++--
src/include/access/gist_private.h | 6 ++-
src/include/access/hash.h | 11 ++--
src/include/access/heapam.h | 2 +-
src/include/access/heaptoast.h | 39 +++++++++++---
src/include/access/htup_details.h | 12 ++++-
src/include/access/itup.h | 5 +-
src/include/access/nbtree.h | 10 ++--
src/include/access/spgist_private.h | 14 ++---
src/include/storage/fsm_internals.h | 7 +--
.../test_ginpostinglist/test_ginpostinglist.c | 6 +--
83 files changed, 505 insertions(+), 362 deletions(-)
diff --git a/contrib/amcheck/verify_heapam.c b/contrib/amcheck/verify_heapam.c
index d8b3fd3d4f..94f5a66012 100644
--- a/contrib/amcheck/verify_heapam.c
+++ b/contrib/amcheck/verify_heapam.c
@@ -1179,12 +1179,14 @@ check_toast_tuple(HeapTuple toasttup, HeapCheckContext *ctx,
uint32 extsize)
{
int32 chunk_seq;
- int32 last_chunk_seq = (extsize - 1) / TOAST_MAX_CHUNK_SIZE;
+ int32 last_chunk_seq;
Pointer chunk;
bool isnull;
int32 chunksize;
int32 expected_size;
+ last_chunk_seq = (extsize - 1) / TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
+
/* Sanity-check the sequence number. */
chunk_seq = DatumGetInt32(fastgetattr(toasttup, 2,
ctx->toast_rel->rd_att, &isnull));
@@ -1249,8 +1251,10 @@ check_toast_tuple(HeapTuple toasttup, HeapCheckContext *ctx,
return;
}
- expected_size = chunk_seq < last_chunk_seq ? TOAST_MAX_CHUNK_SIZE
- : extsize - (last_chunk_seq * TOAST_MAX_CHUNK_SIZE);
+ if (chunk_seq < last_chunk_seq)
+ expected_size = TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
+ else
+ expected_size = extsize - (last_chunk_seq * TOAST_MAX_CHUNK_SIZE(tde_nonce_size));
if (chunksize != expected_size)
report_toast_corruption(ctx, ta,
@@ -1457,7 +1461,7 @@ check_toasted_attribute(HeapCheckContext *ctx, ToastedAttribute *ta)
int32 last_chunk_seq;
extsize = VARATT_EXTERNAL_GET_EXTSIZE(ta->toast_pointer);
- last_chunk_seq = (extsize - 1) / TOAST_MAX_CHUNK_SIZE;
+ last_chunk_seq = (extsize - 1) / TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
/*
* Setup a scan key to find chunks in toast table with matching va_valueid
diff --git a/contrib/amcheck/verify_nbtree.c b/contrib/amcheck/verify_nbtree.c
index fdfc320e84..fc2b28832b 100644
--- a/contrib/amcheck/verify_nbtree.c
+++ b/contrib/amcheck/verify_nbtree.c
@@ -1257,8 +1257,8 @@ bt_target_page_check(BtreeCheckState *state)
*/
lowersizelimit = skey->heapkeyspace &&
(P_ISLEAF(topaque) || BTreeTupleGetHeapTID(itup) == NULL);
- if (tupsize > (lowersizelimit ? BTMaxItemSize(state->target) :
- BTMaxItemSizeNoHeapTid(state->target)))
+ if (tupsize > (lowersizelimit ? BTMaxItemSize(state->target, tde_nonce_size) :
+ BTMaxItemSizeNoHeapTid(state->target, tde_nonce_size)))
{
ItemPointer tid = BTreeTupleGetPointsToTID(itup);
char *itid,
@@ -3031,12 +3031,12 @@ palloc_btree_page(BtreeCheckState *state, BlockNumber blocknum)
* to move left, in the case of backward index scans).
*/
maxoffset = PageGetMaxOffsetNumber(page);
- if (maxoffset > MaxIndexTuplesPerPage)
+ if (maxoffset > MaxIndexTuplesPerPage(tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("Number of items on block %u of index \"%s\" exceeds MaxIndexTuplesPerPage (%u)",
blocknum, RelationGetRelationName(state->rel),
- MaxIndexTuplesPerPage)));
+ MaxIndexTuplesPerPage(tde_nonce_size))));
if (!P_ISLEAF(opaque) && !P_ISDELETED(opaque) && maxoffset < P_FIRSTDATAKEY(opaque))
ereport(ERROR,
diff --git a/contrib/bloom/bloom.h b/contrib/bloom/bloom.h
index a22a6dfa40..fa4cdf01c4 100644
--- a/contrib/bloom/bloom.h
+++ b/contrib/bloom/bloom.h
@@ -97,6 +97,18 @@ typedef uint16 BloomSignatureWord;
#define DEFAULT_BLOOM_BITS 2
#define MAX_BLOOM_BITS (MAX_BLOOM_LENGTH - 1)
+#define FREE_BLK_NUM_ARRAY_MAX_SIZE MAXALIGN_DOWN(BLCKSZ - SizeOfPageHeaderData - \
+ MAXALIGN(sizeof(BloomPageOpaqueData)) - \
+ MAXALIGN(sizeof(uint16) * 2 + \
+ sizeof(uint32) + sizeof(BloomOptions))) \
+ / sizeof(BlockNumber)
+
+#define FREE_BLK_NUM_ARRAY_SIZE(tdeNonceSize) MAXALIGN_DOWN(BLCKSZ - SizeOfPageHeaderData - \
+ MAXALIGN(sizeof(BloomPageOpaqueData) + \
+ tdeNonceSize) - \
+ MAXALIGN(sizeof(uint16) * 2 + \
+ sizeof(uint32) + sizeof(BloomOptions))) \
+ / sizeof(BlockNumber)
/* Bloom index options */
typedef struct BloomOptions
{
@@ -110,12 +122,7 @@ typedef struct BloomOptions
* FreeBlockNumberArray - array of block numbers sized so that metadata fill
* all space in metapage.
*/
-typedef BlockNumber FreeBlockNumberArray[
- MAXALIGN_DOWN(
- BLCKSZ - SizeOfPageHeaderData - MAXALIGN(sizeof(BloomPageOpaqueData))
- - MAXALIGN(sizeof(uint16) * 2 + sizeof(uint32) + sizeof(BloomOptions))
- ) / sizeof(BlockNumber)
-];
+typedef BlockNumber FreeBlockNumberArray[FREE_BLK_NUM_ARRAY_MAX_SIZE];
/* Metadata of bloom index */
typedef struct BloomMetaPageData
@@ -131,7 +138,8 @@ typedef struct BloomMetaPageData
#define BLOOM_MAGICK_NUMBER (0xDBAC0DED)
/* Number of blocks numbers fit in BloomMetaPageData */
-#define BloomMetaBlockN (sizeof(FreeBlockNumberArray) / sizeof(BlockNumber))
+#define BloomMetaBlockN(tdeNonceSize) ((sizeof(BlockNumber) * FREE_BLK_NUM_ARRAY_SIZE(tdeNonceSize)) \
+ / sizeof(BlockNumber))
#define BloomPageGetMeta(page) ((BloomMetaPageData *) PageGetContents(page))
@@ -149,10 +157,10 @@ typedef struct BloomState
Size sizeOfBloomTuple;
} BloomState;
-#define BloomPageGetFreeSpace(state, page) \
+#define BloomPageGetFreeSpace(state, page, tdeNonceSize) \
(BLCKSZ - MAXALIGN(SizeOfPageHeaderData) \
- BloomPageGetMaxOffset(page) * (state)->sizeOfBloomTuple \
- - MAXALIGN(sizeof(BloomPageOpaqueData)))
+ - MAXALIGN(sizeof(BloomPageOpaqueData) + tdeNonceSize))
/*
* Tuples are very different from all other relations
diff --git a/contrib/bloom/blutils.c b/contrib/bloom/blutils.c
index 754de008d4..b79bf90cbf 100644
--- a/contrib/bloom/blutils.c
+++ b/contrib/bloom/blutils.c
@@ -325,7 +325,7 @@ BloomPageAddItem(BloomState *state, Page page, BloomTuple *tuple)
Assert(!PageIsNew(page) && !BloomPageIsDeleted(page));
/* Does new tuple fit on the page? */
- if (BloomPageGetFreeSpace(state, page) < state->sizeOfBloomTuple)
+ if (BloomPageGetFreeSpace(state, page, tde_nonce_size) < state->sizeOfBloomTuple)
return false;
/* Copy new tuple to the end of page */
@@ -423,6 +423,11 @@ BloomFillMetapage(Relation index, Page metaPage)
{
BloomOptions *opts;
BloomMetaPageData *metadata;
+ Size sz;
+
+ /* Size of the actual BloomMetaPageData */
+ sz = sizeof(BloomMetaPageData) - sizeof(FreeBlockNumberArray) +
+ sizeof(BlockNumber) * FREE_BLK_NUM_ARRAY_SIZE(tde_nonce_size);
/*
* Choose the index's options. If reloptions have been assigned, use
@@ -438,10 +443,10 @@ BloomFillMetapage(Relation index, Page metaPage)
*/
BloomInitPage(metaPage, BLOOM_META);
metadata = BloomPageGetMeta(metaPage);
- memset(metadata, 0, sizeof(BloomMetaPageData));
+ memset(metadata, 0, sz);
metadata->magickNumber = BLOOM_MAGICK_NUMBER;
metadata->opts = *opts;
- ((PageHeader) metaPage)->pd_lower += sizeof(BloomMetaPageData);
+ ((PageHeader) metaPage)->pd_lower += sz;
/* If this fails, probably FreeBlockNumberArray size calc is wrong: */
Assert(((PageHeader) metaPage)->pd_lower <= ((PageHeader) metaPage)->pd_upper);
diff --git a/contrib/bloom/blvacuum.c b/contrib/bloom/blvacuum.c
index 88b0a6d290..6621128c2d 100644
--- a/contrib/bloom/blvacuum.c
+++ b/contrib/bloom/blvacuum.c
@@ -115,8 +115,8 @@ blbulkdelete(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
* deleted and there is free space on it
*/
if (BloomPageGetMaxOffset(page) != 0 &&
- BloomPageGetFreeSpace(&state, page) >= state.sizeOfBloomTuple &&
- countPage < BloomMetaBlockN)
+ BloomPageGetFreeSpace(&state, page, tde_nonce_size) >= state.sizeOfBloomTuple &&
+ countPage < BloomMetaBlockN(tde_nonce_size))
notFullPage[countPage++] = blkno;
/* Did we delete something? */
diff --git a/contrib/hstore/hstore_gist.c b/contrib/hstore/hstore_gist.c
index 102c9cea72..52c1f1f62f 100644
--- a/contrib/hstore/hstore_gist.c
+++ b/contrib/hstore/hstore_gist.c
@@ -8,6 +8,7 @@
#include "access/stratnum.h"
#include "catalog/pg_type.h"
#include "hstore.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "utils/pg_crc.h"
/* gist_hstore_ops opclass options */
@@ -20,7 +21,7 @@ typedef struct
/* bigint defines */
#define BITBYTE 8
#define SIGLEN_DEFAULT (sizeof(int32) * 4)
-#define SIGLEN_MAX GISTMaxIndexKeySize
+#define SIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define SIGLENBIT(siglen) ((siglen) * BITBYTE)
#define GET_SIGLEN() (PG_HAS_OPCLASS_OPTIONS() ? \
((GistHstoreOptions *) PG_GET_OPCLASS_OPTIONS())->siglen : \
diff --git a/contrib/intarray/_int.h b/contrib/intarray/_int.h
index 304c29525c..63089bf100 100644
--- a/contrib/intarray/_int.h
+++ b/contrib/intarray/_int.h
@@ -4,12 +4,13 @@
#ifndef ___INT_H__
#define ___INT_H__
+#include "miscadmin.h" /* for tde_nonce_size */
#include "utils/array.h"
#include "utils/memutils.h"
/* number ranges for compression */
#define G_INT_NUMRANGES_DEFAULT 100
-#define G_INT_NUMRANGES_MAX ((GISTMaxIndexKeySize - VARHDRSZ) / \
+#define G_INT_NUMRANGES_MAX ((GISTMaxIndexKeySize(tde_nonce_size) - VARHDRSZ) / \
(2 * sizeof(int32)))
#define G_INT_GET_NUMRANGES() (PG_HAS_OPCLASS_OPTIONS() ? \
((GISTIntArrayOptions *) PG_GET_OPCLASS_OPTIONS())->num_ranges : \
@@ -60,7 +61,7 @@ typedef struct
/* bigint defines */
#define SIGLEN_DEFAULT (63 * 4)
-#define SIGLEN_MAX GISTMaxIndexKeySize
+#define SIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define SIGLENBIT(siglen) ((siglen) * BITS_PER_BYTE)
#define GET_SIGLEN() (PG_HAS_OPCLASS_OPTIONS() ? \
((GISTIntArrayBigOptions *) PG_GET_OPCLASS_OPTIONS())->siglen : \
diff --git a/contrib/ltree/ltree.h b/contrib/ltree/ltree.h
index dc68a0c212..b1121a707e 100644
--- a/contrib/ltree/ltree.h
+++ b/contrib/ltree/ltree.h
@@ -216,7 +216,7 @@ int ltree_strncasecmp(const char *a, const char *b, size_t s);
/* GiST support for ltree */
-#define SIGLEN_MAX GISTMaxIndexKeySize
+#define SIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define SIGLEN_DEFAULT (2 * sizeof(int32))
#define BITBYTE 8
#define SIGLEN (sizeof(int32) * SIGLENINT)
@@ -277,7 +277,7 @@ extern ltree_gist *ltree_gist_alloc(bool isalltrue, BITVECP sign, int siglen,
/* GiST support for ltree[] */
#define LTREE_ASIGLEN_DEFAULT (7 * sizeof(int32))
-#define LTREE_ASIGLEN_MAX GISTMaxIndexKeySize
+#define LTREE_ASIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define LTREE_GET_ASIGLEN() (PG_HAS_OPCLASS_OPTIONS() ? \
((LtreeGistOptions *) PG_GET_OPCLASS_OPTIONS())->siglen : \
LTREE_ASIGLEN_DEFAULT)
diff --git a/contrib/pageinspect/brinfuncs.c b/contrib/pageinspect/brinfuncs.c
index 0e3c2deb66..4a212cfbbb 100644
--- a/contrib/pageinspect/brinfuncs.c
+++ b/contrib/pageinspect/brinfuncs.c
@@ -414,7 +414,7 @@ brin_revmap_data(PG_FUNCTION_ARGS)
fctx = SRF_PERCALL_SETUP();
state = fctx->user_fctx;
- if (state->idx < REVMAP_PAGE_MAXITEMS)
+ if (state->idx < REVMAP_PAGE_MAXITEMS(tde_nonce_size))
SRF_RETURN_NEXT(fctx, PointerGetDatum(&state->tids[state->idx++]));
SRF_RETURN_DONE(fctx);
diff --git a/contrib/pageinspect/fsmfuncs.c b/contrib/pageinspect/fsmfuncs.c
index 930f1df339..37f0a9a75a 100644
--- a/contrib/pageinspect/fsmfuncs.c
+++ b/contrib/pageinspect/fsmfuncs.c
@@ -48,7 +48,7 @@ fsm_page_contents(PG_FUNCTION_ARGS)
initStringInfo(&sinfo);
- for (i = 0; i < NodesPerPage; i++)
+ for (i = 0; i < NodesPerPage(tde_nonce_size); i++)
{
if (fsmpage->fp_nodes[i] != 0)
appendStringInfo(&sinfo, "%d: %d\n", i, fsmpage->fp_nodes[i]);
diff --git a/contrib/pageinspect/ginfuncs.c b/contrib/pageinspect/ginfuncs.c
index e425cbcdb8..451f67a3e8 100644
--- a/contrib/pageinspect/ginfuncs.c
+++ b/contrib/pageinspect/ginfuncs.c
@@ -184,13 +184,15 @@ gin_leafpage_items(PG_FUNCTION_ARGS)
page = get_page_from_raw(raw_page);
- if (PageGetSpecialSize(page) != MAXALIGN(sizeof(GinPageOpaqueData)))
+ if (PageGetSpecialSize(page) !=
+ MAXALIGN(sizeof(GinPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INVALID_PARAMETER_VALUE),
errmsg("input page is not a valid GIN data leaf page"),
errdetail("Special size %d, expected %d",
(int) PageGetSpecialSize(page),
- (int) MAXALIGN(sizeof(GinPageOpaqueData)))));
+ (int) MAXALIGN(sizeof(GinPageOpaqueData) +
+ tde_nonce_size))));
opaq = (GinPageOpaque) PageGetSpecialPointer(page);
if (opaq->flags != (GIN_DATA | GIN_LEAF | GIN_COMPRESSED))
diff --git a/contrib/pageinspect/hashfuncs.c b/contrib/pageinspect/hashfuncs.c
index ff01119474..25e3717a0a 100644
--- a/contrib/pageinspect/hashfuncs.c
+++ b/contrib/pageinspect/hashfuncs.c
@@ -64,7 +64,8 @@ verify_hash_page(bytea *raw_page, int flags)
{
HashPageOpaque pageopaque;
- if (PageGetSpecialSize(page) != MAXALIGN(sizeof(HashPageOpaqueData)))
+ if (PageGetSpecialSize(page) !=
+ MAXALIGN(sizeof(HashPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("index table contains corrupted page")));
diff --git a/contrib/pg_surgery/heap_surgery.c b/contrib/pg_surgery/heap_surgery.c
index d31e5f31fd..e718100324 100644
--- a/contrib/pg_surgery/heap_surgery.c
+++ b/contrib/pg_surgery/heap_surgery.c
@@ -88,7 +88,7 @@ heap_force_common(FunctionCallInfo fcinfo, HeapTupleForceOption heap_force_opt)
Relation rel;
OffsetNumber curr_start_ptr,
next_start_ptr;
- bool include_this_tid[MaxHeapTuplesPerPage];
+ bool include_this_tid[MaxHeapTuplesPerPageLimit];
if (RecoveryInProgress())
ereport(ERROR,
@@ -206,7 +206,7 @@ heap_force_common(FunctionCallInfo fcinfo, HeapTupleForceOption heap_force_opt)
}
/* Mark it for processing. */
- Assert(offno < MaxHeapTuplesPerPage);
+ Assert(offno < MaxHeapTuplesPerPage(tde_nonce_size));
include_this_tid[offno] = true;
}
diff --git a/contrib/pg_trgm/trgm.h b/contrib/pg_trgm/trgm.h
index 405a1d9552..a1c1c9fb84 100644
--- a/contrib/pg_trgm/trgm.h
+++ b/contrib/pg_trgm/trgm.h
@@ -7,6 +7,7 @@
#include "access/gist.h"
#include "access/itup.h"
#include "access/stratnum.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/bufpage.h"
/*
@@ -75,7 +76,7 @@ typedef struct
/* gist */
#define SIGLEN_DEFAULT (sizeof(int) * 3)
-#define SIGLEN_MAX GISTMaxIndexKeySize
+#define SIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define BITBYTE 8
#define SIGLENBIT(siglen) ((siglen) * BITBYTE - 1) /* see makesign */
diff --git a/contrib/pgstattuple/pgstatapprox.c b/contrib/pgstattuple/pgstatapprox.c
index 1fe193bb25..745fc25b8b 100644
--- a/contrib/pgstattuple/pgstatapprox.c
+++ b/contrib/pgstattuple/pgstatapprox.c
@@ -113,7 +113,8 @@ statapprox_heap(Relation rel, output_type *stat)
if (!PageIsNew(page))
stat->free_space += PageGetHeapFreeSpace(page);
else
- stat->free_space += BLCKSZ - SizeOfPageHeaderData;
+ stat->free_space += BLCKSZ - SizeOfPageHeaderData -
+ MAXALIGN(tde_nonce_size);
/* We may count the page as scanned even if it's new/empty */
scanned++;
diff --git a/contrib/pgstattuple/pgstatindex.c b/contrib/pgstattuple/pgstatindex.c
index 5368bb30f0..0405753ce7 100644
--- a/contrib/pgstattuple/pgstatindex.c
+++ b/contrib/pgstattuple/pgstatindex.c
@@ -649,7 +649,7 @@ pgstathashindex(PG_FUNCTION_ARGS)
if (PageIsNew(page))
stats.unused_pages++;
else if (PageGetSpecialSize(page) !=
- MAXALIGN(sizeof(HashPageOpaqueData)))
+ MAXALIGN(sizeof(HashPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("index \"%s\" contains corrupted page at block %u",
diff --git a/contrib/pgstattuple/pgstattuple.c b/contrib/pgstattuple/pgstattuple.c
index 21fdeff8af..4acec7f6e3 100644
--- a/contrib/pgstattuple/pgstattuple.c
+++ b/contrib/pgstattuple/pgstattuple.c
@@ -460,7 +460,8 @@ pgstat_hash_page(pgstattuple_type *stat, Relation rel, BlockNumber blkno,
buf = _hash_getbuf_with_strategy(rel, blkno, HASH_READ, 0, bstrategy);
page = BufferGetPage(buf);
- if (PageGetSpecialSize(page) == MAXALIGN(sizeof(HashPageOpaqueData)))
+ if (PageGetSpecialSize(page) ==
+ MAXALIGN(sizeof(HashPageOpaqueData) + tde_nonce_size))
{
HashPageOpaque opaque;
diff --git a/src/backend/access/brin/brin_bloom.c b/src/backend/access/brin/brin_bloom.c
index 99b2543f76..6d13416b50 100644
--- a/src/backend/access/brin/brin_bloom.c
+++ b/src/backend/access/brin/brin_bloom.c
@@ -125,6 +125,7 @@
#include "access/stratnum.h"
#include "catalog/pg_type.h"
#include "catalog/pg_amop.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "utils/builtins.h"
#include "utils/datum.h"
#include "utils/lsyscache.h"
@@ -211,11 +212,10 @@ typedef struct BloomOptions
* a perfect guarantee, for a couple of reasons. For example, the row may
* be larger because the index has multiple columns.
*/
-#define BloomMaxFilterSize \
+#define BloomMaxFilterSize(tdeNonceSize) \
MAXALIGN_DOWN(BLCKSZ - \
- (MAXALIGN(SizeOfPageHeaderData + \
- sizeof(ItemIdData)) + \
- MAXALIGN(sizeof(BrinSpecialSpace)) + \
+ (MAXALIGN(SizeOfPageHeaderData + sizeof(ItemIdData)) + \
+ MAXALIGN(sizeof(BrinSpecialSpace) + tdeNonceSize) + \
SizeOfBrinTuple))
/*
@@ -307,9 +307,9 @@ bloom_init(int ndistinct, double false_positive_rate)
* XXX This check is not perfect, because the index may have multiple
* filters that are small individually, but too large when combined.
*/
- if (nbytes > BloomMaxFilterSize)
+ if (nbytes > BloomMaxFilterSize(tde_nonce_size))
elog(ERROR, "the bloom filter is too large (%d > %zu)", nbytes,
- BloomMaxFilterSize);
+ BloomMaxFilterSize(tde_nonce_size));
/*
* round(log(2.0) * m / ndistinct), but assume round() may not be
@@ -479,7 +479,7 @@ brin_bloom_get_ndistinct(BrinDesc *bdesc, BloomOptions *opts)
Assert(BlockNumberIsValid(pagesPerRange));
- maxtuples = MaxHeapTuplesPerPage * pagesPerRange;
+ maxtuples = MaxHeapTuplesPerPage(tde_nonce_size) * pagesPerRange;
/*
* Similarly to n_distinct, negative values are relative - in this case to
diff --git a/src/backend/access/brin/brin_minmax_multi.c b/src/backend/access/brin/brin_minmax_multi.c
index bd14184d76..c17b0a6f83 100644
--- a/src/backend/access/brin/brin_minmax_multi.c
+++ b/src/backend/access/brin/brin_minmax_multi.c
@@ -1975,11 +1975,13 @@ brin_minmax_multi_distance_tid(PG_FUNCTION_ARGS)
* We use the no-check variants here, because user-supplied values may
* have (ip_posid == 0). See ItemPointerCompare.
*/
- da1 = ItemPointerGetBlockNumberNoCheck(pa1) * MaxHeapTuplesPerPage +
- ItemPointerGetOffsetNumberNoCheck(pa1);
+ da1 = ItemPointerGetBlockNumberNoCheck(pa1) *
+ MaxHeapTuplesPerPage(tde_nonce_size) +
+ ItemPointerGetOffsetNumberNoCheck(pa1);
- da2 = ItemPointerGetBlockNumberNoCheck(pa2) * MaxHeapTuplesPerPage +
- ItemPointerGetOffsetNumberNoCheck(pa2);
+ da2 = ItemPointerGetBlockNumberNoCheck(pa2) *
+ MaxHeapTuplesPerPage(tde_nonce_size) +
+ ItemPointerGetOffsetNumberNoCheck(pa2);
PG_RETURN_FLOAT8(da2 - da1);
}
@@ -2451,7 +2453,7 @@ brin_minmax_multi_add_value(PG_FUNCTION_ARGS)
* much lower, but meh.
*/
maxvalues = Min(target_maxvalues * MINMAX_BUFFER_FACTOR,
- MaxHeapTuplesPerPage * pagesPerRange);
+ MaxHeapTuplesPerPage(tde_nonce_size) * pagesPerRange);
/* but always at least the original value */
maxvalues = Max(maxvalues, target_maxvalues);
@@ -2497,7 +2499,7 @@ brin_minmax_multi_add_value(PG_FUNCTION_ARGS)
* much lower, but meh.
*/
maxvalues = Min(serialized->maxvalues * MINMAX_BUFFER_FACTOR,
- MaxHeapTuplesPerPage * pagesPerRange);
+ MaxHeapTuplesPerPage(tde_nonce_size) * pagesPerRange);
/* but always at least the original value */
maxvalues = Max(maxvalues, serialized->maxvalues);
diff --git a/src/backend/access/brin/brin_pageops.c b/src/backend/access/brin/brin_pageops.c
index df9ffc2fb8..ac5d26f754 100644
--- a/src/backend/access/brin/brin_pageops.c
+++ b/src/backend/access/brin/brin_pageops.c
@@ -26,11 +26,10 @@
* Maximum size of an entry in a BRIN_PAGETYPE_REGULAR page. We can tolerate
* a single item per page, unlike other index AMs.
*/
-#define BrinMaxItemSize \
+#define BrinMaxItemSize(tdeNonceSize) \
MAXALIGN_DOWN(BLCKSZ - \
- (MAXALIGN(SizeOfPageHeaderData + \
- sizeof(ItemIdData)) + \
- MAXALIGN(sizeof(BrinSpecialSpace))))
+ (MAXALIGN(SizeOfPageHeaderData + sizeof(ItemIdData)) + \
+ MAXALIGN(sizeof(BrinSpecialSpace) + tdeNonceSize)))
static Buffer brin_getinsertbuffer(Relation irel, Buffer oldbuf, Size itemsz,
bool *extended);
@@ -69,12 +68,12 @@ brin_doupdate(Relation idxrel, BlockNumber pagesPerRange,
Assert(newsz == MAXALIGN(newsz));
/* If the item is oversized, don't bother. */
- if (newsz > BrinMaxItemSize)
+ if (newsz > BrinMaxItemSize(tde_nonce_size))
{
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
- newsz, BrinMaxItemSize, RelationGetRelationName(idxrel))));
+ newsz, BrinMaxItemSize(tde_nonce_size), RelationGetRelationName(idxrel))));
return false; /* keep compiler quiet */
}
@@ -355,12 +354,12 @@ brin_doinsert(Relation idxrel, BlockNumber pagesPerRange,
Assert(itemsz == MAXALIGN(itemsz));
/* If the item is oversized, don't even bother. */
- if (itemsz > BrinMaxItemSize)
+ if (itemsz > BrinMaxItemSize(tde_nonce_size))
{
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
- itemsz, BrinMaxItemSize, RelationGetRelationName(idxrel))));
+ itemsz, BrinMaxItemSize(tde_nonce_size), RelationGetRelationName(idxrel))));
return InvalidOffsetNumber; /* keep compiler quiet */
}
@@ -692,7 +691,7 @@ brin_getinsertbuffer(Relation irel, Buffer oldbuf, Size itemsz,
Size freespace;
/* callers must have checked */
- Assert(itemsz <= BrinMaxItemSize);
+ Assert(itemsz <= BrinMaxItemSize(tde_nonce_size));
if (BufferIsValid(oldbuf))
oldblk = BufferGetBlockNumber(oldbuf);
@@ -805,7 +804,7 @@ brin_getinsertbuffer(Relation irel, Buffer oldbuf, Size itemsz,
* page that has since been repurposed for the revmap.)
*/
freespace = *extended ?
- BrinMaxItemSize : br_page_get_freespace(page);
+ BrinMaxItemSize(tde_nonce_size) : br_page_get_freespace(page);
if (freespace >= itemsz)
{
RelationSetTargetBlock(irel, newblk);
diff --git a/src/backend/access/brin/brin_revmap.c b/src/backend/access/brin/brin_revmap.c
index c574c8a06e..32423b3ea2 100644
--- a/src/backend/access/brin/brin_revmap.c
+++ b/src/backend/access/brin/brin_revmap.c
@@ -38,10 +38,10 @@
* find the logical revmap page number and index number of the revmap item for
* the given heap block number.
*/
-#define HEAPBLK_TO_REVMAP_BLK(pagesPerRange, heapBlk) \
- ((heapBlk / pagesPerRange) / REVMAP_PAGE_MAXITEMS)
-#define HEAPBLK_TO_REVMAP_INDEX(pagesPerRange, heapBlk) \
- ((heapBlk / pagesPerRange) % REVMAP_PAGE_MAXITEMS)
+#define HEAPBLK_TO_REVMAP_BLK(pagesPerRange, heapBlk, tdeNonceSize) \
+ ((heapBlk / pagesPerRange) / REVMAP_PAGE_MAXITEMS(tdeNonceSize))
+#define HEAPBLK_TO_REVMAP_INDEX(pagesPerRange, heapBlk, tdeNonceSize) \
+ ((heapBlk / pagesPerRange) % REVMAP_PAGE_MAXITEMS(tdeNonceSize))
struct BrinRevmap
@@ -166,7 +166,7 @@ brinSetHeapBlockItemptr(Buffer buf, BlockNumber pagesPerRange,
page = BufferGetPage(buf);
contents = (RevmapContents *) PageGetContents(page);
iptr = (ItemPointerData *) contents->rm_tids;
- iptr += HEAPBLK_TO_REVMAP_INDEX(pagesPerRange, heapBlk);
+ iptr += HEAPBLK_TO_REVMAP_INDEX(pagesPerRange, heapBlk, tde_nonce_size);
if (ItemPointerIsValid(&tid))
ItemPointerSet(iptr,
@@ -243,7 +243,8 @@ brinGetTupleForHeapBlock(BrinRevmap *revmap, BlockNumber heapBlk,
contents = (RevmapContents *)
PageGetContents(BufferGetPage(revmap->rm_currBuf));
iptr = contents->rm_tids;
- iptr += HEAPBLK_TO_REVMAP_INDEX(revmap->rm_pagesPerRange, heapBlk);
+ iptr += HEAPBLK_TO_REVMAP_INDEX(revmap->rm_pagesPerRange, heapBlk,
+ tde_nonce_size);
if (!ItemPointerIsValid(iptr))
{
@@ -354,7 +355,8 @@ brinRevmapDesummarizeRange(Relation idxrel, BlockNumber heapBlk)
/* Lock the revmap page, obtain the index tuple pointer from it */
revmapBuf = brinLockRevmapPageForUpdate(revmap, heapBlk);
revmapPg = BufferGetPage(revmapBuf);
- revmapOffset = HEAPBLK_TO_REVMAP_INDEX(revmap->rm_pagesPerRange, heapBlk);
+ revmapOffset = HEAPBLK_TO_REVMAP_INDEX(revmap->rm_pagesPerRange, heapBlk,
+ tde_nonce_size);
contents = (RevmapContents *) PageGetContents(revmapPg);
iptr = contents->rm_tids;
@@ -454,7 +456,8 @@ revmap_get_blkno(BrinRevmap *revmap, BlockNumber heapBlk)
BlockNumber targetblk;
/* obtain revmap block number, skip 1 for metapage block */
- targetblk = HEAPBLK_TO_REVMAP_BLK(revmap->rm_pagesPerRange, heapBlk) + 1;
+ targetblk = HEAPBLK_TO_REVMAP_BLK(revmap->rm_pagesPerRange, heapBlk,
+ tde_nonce_size) + 1;
/* Normal case: the revmap page is already allocated */
if (targetblk <= revmap->rm_lastRevmapPage)
@@ -512,7 +515,8 @@ revmap_extend_and_get_blkno(BrinRevmap *revmap, BlockNumber heapBlk)
BlockNumber targetblk;
/* obtain revmap block number, skip 1 for metapage block */
- targetblk = HEAPBLK_TO_REVMAP_BLK(revmap->rm_pagesPerRange, heapBlk) + 1;
+ targetblk = HEAPBLK_TO_REVMAP_BLK(revmap->rm_pagesPerRange, heapBlk,
+ tde_nonce_size) + 1;
/* Extend the revmap, if necessary */
while (targetblk > revmap->rm_lastRevmapPage)
diff --git a/src/backend/access/brin/brin_tuple.c b/src/backend/access/brin/brin_tuple.c
index ee05372f79..74c366dc9a 100644
--- a/src/backend/access/brin/brin_tuple.c
+++ b/src/backend/access/brin/brin_tuple.c
@@ -217,7 +217,8 @@ brin_form_tuple(BrinDesc *brdesc, BlockNumber blkno, BrinMemTuple *tuple,
* datatype, try to compress it in-line.
*/
if (!VARATT_IS_EXTENDED(DatumGetPointer(value)) &&
- VARSIZE(DatumGetPointer(value)) > TOAST_INDEX_TARGET &&
+ VARSIZE(DatumGetPointer(value)) >
+ TOAST_INDEX_TARGET(tde_nonce_size) &&
(atttype->typstorage == TYPSTORAGE_EXTENDED ||
atttype->typstorage == TYPSTORAGE_MAIN))
{
diff --git a/src/backend/access/common/indextuple.c b/src/backend/access/common/indextuple.c
index 5212560411..1939647f6f 100644
--- a/src/backend/access/common/indextuple.c
+++ b/src/backend/access/common/indextuple.c
@@ -99,7 +99,8 @@ index_form_tuple(TupleDesc tupleDescriptor,
* try to compress it in-line.
*/
if (!VARATT_IS_EXTENDED(DatumGetPointer(untoasted_values[i])) &&
- VARSIZE(DatumGetPointer(untoasted_values[i])) > TOAST_INDEX_TARGET &&
+ VARSIZE(DatumGetPointer(untoasted_values[i])) >
+ TOAST_INDEX_TARGET(tde_nonce_size) &&
(att->attstorage == TYPSTORAGE_EXTENDED ||
att->attstorage == TYPSTORAGE_MAIN))
{
diff --git a/src/backend/access/common/reloptions.c b/src/backend/access/common/reloptions.c
index 5554275e64..45e66ad378 100644
--- a/src/backend/access/common/reloptions.c
+++ b/src/backend/access/common/reloptions.c
@@ -328,7 +328,7 @@ static relopt_int intRelOpts[] =
RELOPT_KIND_HEAP,
ShareUpdateExclusiveLock
},
- TOAST_TUPLE_TARGET, 128, TOAST_TUPLE_TARGET_MAIN
+ TOAST_TUPLE_TARGET_MAX_LIMIT, 128, TOAST_TUPLE_TARGET_MAIN_MAX_LIMIT
},
{
{
@@ -569,6 +569,14 @@ initialize_reloptions(void)
{
Assert(DoLockModesConflict(intRelOpts[i].gen.lockmode,
intRelOpts[i].gen.lockmode));
+
+ /* Set the actual run time values */
+ if (strcmp(intRelOpts[i].gen.name, "toast_tuple_target") == 0)
+ {
+ intRelOpts[i].default_val = TOAST_TUPLE_TARGET(tde_nonce_size);
+ intRelOpts[i].max = TOAST_TUPLE_TARGET_MAIN(tde_nonce_size);
+ }
+
j++;
}
for (i = 0; realRelOpts[i].gen.name; i++)
diff --git a/src/backend/access/common/toast_internals.c b/src/backend/access/common/toast_internals.c
index c036319a0b..5a1357a4a3 100644
--- a/src/backend/access/common/toast_internals.c
+++ b/src/backend/access/common/toast_internals.c
@@ -131,7 +131,7 @@ toast_save_datum(Relation rel, Datum value,
{
struct varlena hdr;
/* this is to make the union big enough for a chunk: */
- char data[TOAST_MAX_CHUNK_SIZE + VARHDRSZ];
+ char data[TOAST_MAX_CHUNK_SIZE_LIMIT + VARHDRSZ];
/* ensure union is aligned well enough: */
int32 align_it;
} chunk_data;
@@ -309,7 +309,7 @@ toast_save_datum(Relation rel, Datum value,
/*
* Calculate the size of this chunk
*/
- chunk_size = Min(TOAST_MAX_CHUNK_SIZE, data_todo);
+ chunk_size = Min(TOAST_MAX_CHUNK_SIZE(tde_nonce_size), data_todo);
/*
* Build a tuple and store it
diff --git a/src/backend/access/gin/gindatapage.c b/src/backend/access/gin/gindatapage.c
index 06c0586543..0471d18299 100644
--- a/src/backend/access/gin/gindatapage.c
+++ b/src/backend/access/gin/gindatapage.c
@@ -407,7 +407,7 @@ GinDataPageAddPostingItem(Page page, PostingItem *data, OffsetNumber offset)
* "standard" page layout, so that we can squeeze out the unused space
* from full-page images.
*/
- GinDataPageSetDataSize(page, maxoff * sizeof(PostingItem));
+ GinDataPageSetDataSize(page, maxoff * sizeof(PostingItem), tde_nonce_size);
}
/*
@@ -429,7 +429,7 @@ GinPageDeletePostingItem(Page page, OffsetNumber offset)
maxoff--;
GinPageGetOpaque(page)->maxoff = maxoff;
- GinDataPageSetDataSize(page, maxoff * sizeof(PostingItem));
+ GinDataPageSetDataSize(page, maxoff * sizeof(PostingItem), tde_nonce_size);
}
/*
@@ -535,7 +535,8 @@ dataBeginPlaceToPageLeaf(GinBtree btree, Buffer buf, GinBtreeStack *stack,
* a single byte, and we can use all the free space on the old page as
* well as the new page. For simplicity, ignore segment overhead etc.
*/
- maxitems = Min(maxitems, freespace + GinDataPageMaxDataSize);
+ maxitems = Min(maxitems, freespace +
+ GinDataPageMaxDataSize(tde_nonce_size));
}
else
{
@@ -550,7 +551,7 @@ dataBeginPlaceToPageLeaf(GinBtree btree, Buffer buf, GinBtreeStack *stack,
int nnewsegments;
nnewsegments = freespace / GinPostingListSegmentMaxSize;
- nnewsegments += GinDataPageMaxDataSize / GinPostingListSegmentMaxSize;
+ nnewsegments += GinDataPageMaxDataSize(tde_nonce_size) / GinPostingListSegmentMaxSize;
maxitems = Min(maxitems, nnewsegments * MinTuplesPerSegment);
}
@@ -665,8 +666,8 @@ dataBeginPlaceToPageLeaf(GinBtree btree, Buffer buf, GinBtreeStack *stack,
leaf->lastleft = dlist_prev_node(&leaf->segments, leaf->lastleft);
}
}
- Assert(leaf->lsize <= GinDataPageMaxDataSize);
- Assert(leaf->rsize <= GinDataPageMaxDataSize);
+ Assert(leaf->lsize <= GinDataPageMaxDataSize(tde_nonce_size));
+ Assert(leaf->rsize <= GinDataPageMaxDataSize(tde_nonce_size));
/*
* Fetch the max item in the left page's last segment; it becomes the
@@ -755,7 +756,7 @@ ginVacuumPostingTreeLeaf(Relation indexrel, Buffer buffer, GinVacuumState *gvs)
if (seginfo->seg)
oldsegsize = SizeOfGinPostingList(seginfo->seg);
else
- oldsegsize = GinDataPageMaxDataSize;
+ oldsegsize = GinDataPageMaxDataSize(tde_nonce_size);
cleaned = ginVacuumItemPointers(gvs,
seginfo->items,
@@ -1015,8 +1016,8 @@ dataPlaceToPageLeafRecompress(Buffer buf, disassembledLeaf *leaf)
}
}
- Assert(newsize <= GinDataPageMaxDataSize);
- GinDataPageSetDataSize(page, newsize);
+ Assert(newsize <= GinDataPageMaxDataSize(tde_nonce_size));
+ GinDataPageSetDataSize(page, newsize, tde_nonce_size);
}
/*
@@ -1068,7 +1069,7 @@ dataPlaceToPageLeafSplit(disassembledLeaf *leaf,
}
}
Assert(lsize == leaf->lsize);
- GinDataPageSetDataSize(lpage, lsize);
+ GinDataPageSetDataSize(lpage, lsize, tde_nonce_size);
*GinDataPageGetRightBound(lpage) = lbound;
/* Copy the segments that go to the right page */
@@ -1092,7 +1093,7 @@ dataPlaceToPageLeafSplit(disassembledLeaf *leaf,
break;
}
Assert(rsize == leaf->rsize);
- GinDataPageSetDataSize(rpage, rsize);
+ GinDataPageSetDataSize(rpage, rsize, tde_nonce_size);
*GinDataPageGetRightBound(rpage) = rbound;
}
@@ -1121,7 +1122,7 @@ dataBeginPlaceToPageInternal(GinBtree btree, Buffer buf, GinBtreeStack *stack,
Page page = BufferGetPage(buf);
/* If it doesn't fit, deal with split case */
- if (GinNonLeafDataPageGetFreeSpace(page) < sizeof(PostingItem))
+ if (GinNonLeafDataPageGetFreeSpace(page, tde_nonce_size) < sizeof(PostingItem))
{
dataSplitPageInternal(btree, buf, stack, insertdata, updateblkno,
newlpage, newrpage);
@@ -1287,7 +1288,7 @@ dataSplitPageInternal(GinBtree btree, Buffer origbuf,
* end. This packs the index as tight as possible.
*/
if (btree->isBuild && GinPageRightMost(oldpage))
- separator = GinNonLeafDataPageGetFreeSpace(rpage) / sizeof(PostingItem);
+ separator = GinNonLeafDataPageGetFreeSpace(rpage, tde_nonce_size) / sizeof(PostingItem);
else
separator = nitems / 2;
nleftitems = separator;
@@ -1305,8 +1306,8 @@ dataSplitPageInternal(GinBtree btree, Buffer origbuf,
/*
* Also set pd_lower for both pages, like GinDataPageAddPostingItem does.
*/
- GinDataPageSetDataSize(lpage, nleftitems * sizeof(PostingItem));
- GinDataPageSetDataSize(rpage, nrightitems * sizeof(PostingItem));
+ GinDataPageSetDataSize(lpage, nleftitems * sizeof(PostingItem), tde_nonce_size);
+ GinDataPageSetDataSize(rpage, nrightitems * sizeof(PostingItem), tde_nonce_size);
/* set up right bound for left page */
bound = GinDataPageGetRightBound(lpage);
@@ -1684,7 +1685,7 @@ leafRepackItems(disassembledLeaf *leaf, ItemPointer remaining)
* copying to the page. Did we exceed the size that fits on one page?
*/
segsize = SizeOfGinPostingList(seginfo->seg);
- if (pgused + segsize > GinDataPageMaxDataSize)
+ if (pgused + segsize > GinDataPageMaxDataSize(tde_nonce_size))
{
if (!needsplit)
{
@@ -1724,8 +1725,8 @@ leafRepackItems(disassembledLeaf *leaf, ItemPointer remaining)
else
leaf->rsize = pgused;
- Assert(leaf->lsize <= GinDataPageMaxDataSize);
- Assert(leaf->rsize <= GinDataPageMaxDataSize);
+ Assert(leaf->lsize <= GinDataPageMaxDataSize(tde_nonce_size));
+ Assert(leaf->rsize <= GinDataPageMaxDataSize(tde_nonce_size));
/*
* Make a palloc'd copy of every segment after the first modified one,
@@ -1801,7 +1802,7 @@ createPostingTree(Relation index, ItemPointerData *items, uint32 nitems,
GinPostingListSegmentMaxSize,
&npacked);
segsize = SizeOfGinPostingList(segment);
- if (rootsize + segsize > GinDataPageMaxDataSize)
+ if (rootsize + segsize > GinDataPageMaxDataSize(tde_nonce_size))
break;
memcpy(ptr, segment, segsize);
@@ -1810,7 +1811,7 @@ createPostingTree(Relation index, ItemPointerData *items, uint32 nitems,
nrootitems += npacked;
pfree(segment);
}
- GinDataPageSetDataSize(tmppage, rootsize);
+ GinDataPageSetDataSize(tmppage, rootsize, tde_nonce_size);
/*
* All set. Get a new physical page, and copy the in-memory page to it.
diff --git a/src/backend/access/gin/ginentrypage.c b/src/backend/access/gin/ginentrypage.c
index 29c36bc067..afa24680a0 100644
--- a/src/backend/access/gin/ginentrypage.c
+++ b/src/backend/access/gin/ginentrypage.c
@@ -102,13 +102,13 @@ GinFormTuple(GinState *ginstate,
newsize = MAXALIGN(newsize);
- if (newsize > GinMaxItemSize)
+ if (newsize > GinMaxItemSize(tde_nonce_size))
{
if (errorTooBig)
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
- (Size) newsize, (Size) GinMaxItemSize,
+ (Size) newsize, (Size) GinMaxItemSize(tde_nonce_size),
RelationGetRelationName(ginstate->index))));
pfree(itup);
return NULL;
diff --git a/src/backend/access/gin/ginfast.c b/src/backend/access/gin/ginfast.c
index e0d9940946..94d717b719 100644
--- a/src/backend/access/gin/ginfast.c
+++ b/src/backend/access/gin/ginfast.c
@@ -38,8 +38,9 @@
/* GUC parameter */
int gin_pending_list_limit = 0;
-#define GIN_PAGE_FREESIZE \
- ( BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - MAXALIGN(sizeof(GinPageOpaqueData)) )
+#define GIN_PAGE_FREESIZE(tdeNonceSize) \
+ ( BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - \
+ MAXALIGN(sizeof(GinPageOpaqueData) + tdeNonceSize) )
typedef struct KeyArray
{
@@ -183,7 +184,7 @@ makeSublist(Relation index, IndexTuple *tuples, int32 ntuples,
tupsize = MAXALIGN(IndexTupleSize(tuples[i])) + sizeof(ItemIdData);
- if (size + tupsize > GinListPageSize)
+ if (size + tupsize > GinListPageSize(tde_nonce_size))
{
/* won't fit, force a new page and reprocess */
i--;
@@ -249,7 +250,8 @@ ginHeapTupleFastInsert(GinState *ginstate, GinTupleCollector *collector)
*/
CheckForSerializableConflictIn(index, NULL, GIN_METAPAGE_BLKNO);
- if (collector->sumsize + collector->ntuples * sizeof(ItemIdData) > GinListPageSize)
+ if (collector->sumsize + collector->ntuples * sizeof(ItemIdData) >
+ GinListPageSize(tde_nonce_size))
{
/*
* Total size is greater than one page => make sublist
@@ -447,7 +449,8 @@ ginHeapTupleFastInsert(GinState *ginstate, GinTupleCollector *collector)
* ginInsertCleanup() should not be called inside our CRIT_SECTION.
*/
cleanupSize = GinGetPendingListCleanupSize(index);
- if (metadata->nPendingPages * GIN_PAGE_FREESIZE > cleanupSize * 1024L)
+ if (metadata->nPendingPages * GIN_PAGE_FREESIZE(tde_nonce_size) >
+ cleanupSize * 1024L)
needCleanup = true;
UnlockReleaseBuffer(metabuffer);
diff --git a/src/backend/access/gin/gininsert.c b/src/backend/access/gin/gininsert.c
index 0e8672c9e9..41d4f10738 100644
--- a/src/backend/access/gin/gininsert.c
+++ b/src/backend/access/gin/gininsert.c
@@ -75,7 +75,8 @@ addItemPointersToLeafTuple(GinState *ginstate,
/* Compress the posting list, and try to a build tuple with room for it */
res = NULL;
- compressedList = ginCompressPostingList(newItems, newNPosting, GinMaxItemSize,
+ compressedList = ginCompressPostingList(newItems, newNPosting,
+ GinMaxItemSize(tde_nonce_size),
NULL);
pfree(newItems);
if (compressedList)
@@ -135,7 +136,9 @@ buildFreshLeafTuple(GinState *ginstate,
GinPostingList *compressedList;
/* try to build a posting list tuple with all the items */
- compressedList = ginCompressPostingList(items, nitem, GinMaxItemSize, NULL);
+ compressedList = ginCompressPostingList(items, nitem,
+ GinMaxItemSize(tde_nonce_size),
+ NULL);
if (compressedList)
{
res = GinFormTuple(ginstate, attnum, key, category,
diff --git a/src/backend/access/gin/ginvacuum.c b/src/backend/access/gin/ginvacuum.c
index a276eb020b..fc2f4c957a 100644
--- a/src/backend/access/gin/ginvacuum.c
+++ b/src/backend/access/gin/ginvacuum.c
@@ -514,7 +514,9 @@ ginVacuumEntryPage(GinVacuumState *gvs, Buffer buffer, BlockNumber *roots, uint3
if (nitems > 0)
{
- plist = ginCompressPostingList(items, nitems, GinMaxItemSize, NULL);
+ plist = ginCompressPostingList(items, nitems,
+ GinMaxItemSize(tde_nonce_size),
+ NULL);
plistsize = SizeOfGinPostingList(plist);
}
else
diff --git a/src/backend/access/gin/ginxlog.c b/src/backend/access/gin/ginxlog.c
index 09ce4d6a5b..d7af618c0f 100644
--- a/src/backend/access/gin/ginxlog.c
+++ b/src/backend/access/gin/ginxlog.c
@@ -59,7 +59,7 @@ ginRedoCreatePTree(XLogReaderState *record)
/* Place page data */
memcpy(GinDataLeafPageGetPostingList(page), ptr, data->size);
- GinDataPageSetDataSize(page, data->size);
+ GinDataPageSetDataSize(page, data->size, tde_nonce_size);
PageSetLSN(page, lsn);
@@ -158,7 +158,7 @@ ginRedoRecompress(Page page, ginxlogRecompressDataLeaf *data)
totalsize = 0;
}
- GinDataPageSetDataSize(page, totalsize);
+ GinDataPageSetDataSize(page, totalsize, tde_nonce_size);
GinPageSetCompressed(page);
GinPageGetOpaque(page)->maxoff = InvalidOffsetNumber;
}
@@ -312,7 +312,7 @@ ginRedoRecompress(Page page, ginxlogRecompressDataLeaf *data)
}
totalsize = writePtr - (Pointer) GinDataLeafPageGetPostingList(page);
- GinDataPageSetDataSize(page, totalsize);
+ GinDataPageSetDataSize(page, totalsize, tde_nonce_size);
}
static void
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 0683f42c25..9d503630a5 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -1439,7 +1439,7 @@ gistSplit(Relation r,
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
- IndexTupleSize(itup[0]), GiSTPageSize,
+ IndexTupleSize(itup[0]), GiSTPageSize(tde_nonce_size),
RelationGetRelationName(r))));
memset(v.spl_lisnull, true,
@@ -1641,7 +1641,7 @@ freeGISTstate(GISTSTATE *giststate)
static void
gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
{
- OffsetNumber deletable[MaxIndexTuplesPerPage];
+ OffsetNumber deletable[MaxIndexTuplesPerPageLimit];
int ndeletable = 0;
OffsetNumber offnum,
maxoff;
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index f46a42197c..010d069ce5 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -619,6 +619,7 @@ gistInitBuffering(GISTBuildState *buildstate)
/* Calc space of index page which is available for index tuples */
pageFreeSpace = BLCKSZ - SizeOfPageHeaderData - sizeof(GISTPageOpaqueData)
+ - tde_nonce_size
- sizeof(ItemIdData)
- buildstate->freespace;
@@ -775,6 +776,7 @@ calculatePagesPerBuffer(GISTBuildState *buildstate, int levelStep)
/* Calc space of index page which is available for index tuples */
pageFreeSpace = BLCKSZ - SizeOfPageHeaderData - sizeof(GISTPageOpaqueData)
+ - tde_nonce_size
- sizeof(ItemIdData)
- buildstate->freespace;
diff --git a/src/backend/access/gist/gistget.c b/src/backend/access/gist/gistget.c
index c8f7e781c6..178e7f6b44 100644
--- a/src/backend/access/gist/gistget.c
+++ b/src/backend/access/gist/gistget.c
@@ -660,12 +660,12 @@ gistgettuple(IndexScanDesc scan, ScanDirection dir)
MemoryContextSwitchTo(so->giststate->scanCxt);
so->killedItems =
- (OffsetNumber *) palloc(MaxIndexTuplesPerPage
+ (OffsetNumber *) palloc(MaxIndexTuplesPerPage(tde_nonce_size)
* sizeof(OffsetNumber));
MemoryContextSwitchTo(oldCxt);
}
- if (so->numKilled < MaxIndexTuplesPerPage)
+ if (so->numKilled < MaxIndexTuplesPerPage(tde_nonce_size))
so->killedItems[so->numKilled++] =
so->pageData[so->curPageData - 1].offnum;
}
@@ -697,12 +697,12 @@ gistgettuple(IndexScanDesc scan, ScanDirection dir)
MemoryContextSwitchTo(so->giststate->scanCxt);
so->killedItems =
- (OffsetNumber *) palloc(MaxIndexTuplesPerPage
+ (OffsetNumber *) palloc(MaxIndexTuplesPerPage(tde_nonce_size)
* sizeof(OffsetNumber));
MemoryContextSwitchTo(oldCxt);
}
- if (so->numKilled < MaxIndexTuplesPerPage)
+ if (so->numKilled < MaxIndexTuplesPerPage(tde_nonce_size))
so->killedItems[so->numKilled++] =
so->pageData[so->curPageData - 1].offnum;
}
diff --git a/src/backend/access/gist/gistutil.c b/src/backend/access/gist/gistutil.c
index 8dcd53c457..ce1a5447bb 100644
--- a/src/backend/access/gist/gistutil.c
+++ b/src/backend/access/gist/gistutil.c
@@ -84,7 +84,7 @@ gistfitpage(IndexTuple *itvec, int len)
size += IndexTupleSize(itvec[i]) + sizeof(ItemIdData);
/* TODO: Consider fillfactor */
- return (size <= GiSTPageSize);
+ return (size <= GiSTPageSize(tde_nonce_size));
}
/*
@@ -803,7 +803,8 @@ gistcheckpage(Relation rel, Buffer buf)
/*
* Additionally check that the special area looks sane.
*/
- if (PageGetSpecialSize(page) != MAXALIGN(sizeof(GISTPageOpaqueData)))
+ if (PageGetSpecialSize(page) !=
+ MAXALIGN(sizeof(GISTPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("index \"%s\" contains corrupted page at block %u",
diff --git a/src/backend/access/hash/hash.c b/src/backend/access/hash/hash.c
index 0752fb38a9..2492eab5aa 100644
--- a/src/backend/access/hash/hash.c
+++ b/src/backend/access/hash/hash.c
@@ -308,9 +308,9 @@ hashgettuple(IndexScanDesc scan, ScanDirection dir)
*/
if (so->killedItems == NULL)
so->killedItems = (int *)
- palloc(MaxIndexTuplesPerPage * sizeof(int));
+ palloc(MaxIndexTuplesPerPage(tde_nonce_size) * sizeof(int));
- if (so->numKilled < MaxIndexTuplesPerPage)
+ if (so->numKilled < MaxIndexTuplesPerPage(tde_nonce_size))
so->killedItems[so->numKilled++] = so->currPos.itemIndex;
}
diff --git a/src/backend/access/hash/hashinsert.c b/src/backend/access/hash/hashinsert.c
index d254a00b6a..b4fc39d9e2 100644
--- a/src/backend/access/hash/hashinsert.c
+++ b/src/backend/access/hash/hashinsert.c
@@ -76,11 +76,11 @@ restart_insert:
*
* XXX this is useless code if we are only storing hash keys.
*/
- if (itemsz > HashMaxItemSize(metapage))
+ if (itemsz > HashMaxItemSize(metapage, tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds hash maximum %zu",
- itemsz, HashMaxItemSize(metapage)),
+ itemsz, HashMaxItemSize(metapage, tde_nonce_size)),
errhint("Values larger than a buffer page cannot be indexed.")));
/* Lock the primary bucket page for the target bucket. */
diff --git a/src/backend/access/hash/hashovfl.c b/src/backend/access/hash/hashovfl.c
index 1ff2e0c18e..c02d4e66ff 100644
--- a/src/backend/access/hash/hashovfl.c
+++ b/src/backend/access/hash/hashovfl.c
@@ -866,9 +866,9 @@ _hash_squeezebucket(Relation rel,
OffsetNumber roffnum;
OffsetNumber maxroffnum;
OffsetNumber deletable[MaxOffsetNumber];
- IndexTuple itups[MaxIndexTuplesPerPage];
- Size tups_size[MaxIndexTuplesPerPage];
- OffsetNumber itup_offsets[MaxIndexTuplesPerPage];
+ IndexTuple itups[MaxIndexTuplesPerPageLimit];
+ Size tups_size[MaxIndexTuplesPerPageLimit];
+ OffsetNumber itup_offsets[MaxIndexTuplesPerPageLimit];
uint16 ndeletable = 0;
uint16 nitups = 0;
Size all_tups_size = 0;
diff --git a/src/backend/access/hash/hashpage.c b/src/backend/access/hash/hashpage.c
index 49a9867787..46c1597e96 100644
--- a/src/backend/access/hash/hashpage.c
+++ b/src/backend/access/hash/hashpage.c
@@ -542,7 +542,7 @@ _hash_init_metabuffer(Buffer buf, double num_tuples, RegProcedure procid,
metap->hashm_ntuples = 0;
metap->hashm_nmaps = 0;
metap->hashm_ffactor = ffactor;
- metap->hashm_bsize = HashGetMaxBitmapSize(page);
+ metap->hashm_bsize = HashGetMaxBitmapSize(page, tde_nonce_size);
/* find largest bitmap array size that will fit in page size */
lshift = pg_leftmost_one_pos32(metap->hashm_bsize);
@@ -1082,8 +1082,8 @@ _hash_splitbucket(Relation rel,
Page npage;
HashPageOpaque oopaque;
HashPageOpaque nopaque;
- OffsetNumber itup_offsets[MaxIndexTuplesPerPage];
- IndexTuple itups[MaxIndexTuplesPerPage];
+ OffsetNumber itup_offsets[MaxIndexTuplesPerPageLimit];
+ IndexTuple itups[MaxIndexTuplesPerPageLimit];
Size all_tups_size = 0;
int i;
uint16 nitups = 0;
diff --git a/src/backend/access/hash/hashsearch.c b/src/backend/access/hash/hashsearch.c
index 2ffa28e8f7..d08531f4e8 100644
--- a/src/backend/access/hash/hashsearch.c
+++ b/src/backend/access/hash/hashsearch.c
@@ -538,7 +538,7 @@ _hash_readpage(IndexScanDesc scan, Buffer *bufP, ScanDirection dir)
itemIndex = _hash_load_qualified_items(scan, page, offnum, dir);
- if (itemIndex != MaxIndexTuplesPerPage)
+ if (itemIndex != MaxIndexTuplesPerPage(tde_nonce_size))
break;
/*
@@ -577,8 +577,8 @@ _hash_readpage(IndexScanDesc scan, Buffer *bufP, ScanDirection dir)
}
so->currPos.firstItem = itemIndex;
- so->currPos.lastItem = MaxIndexTuplesPerPage - 1;
- so->currPos.itemIndex = MaxIndexTuplesPerPage - 1;
+ so->currPos.lastItem = MaxIndexTuplesPerPage(tde_nonce_size) - 1;
+ so->currPos.itemIndex = MaxIndexTuplesPerPage(tde_nonce_size) - 1;
}
if (so->currPos.buf == so->hashso_bucket_buf ||
@@ -658,13 +658,13 @@ _hash_load_qualified_items(IndexScanDesc scan, Page page,
offnum = OffsetNumberNext(offnum);
}
- Assert(itemIndex <= MaxIndexTuplesPerPage);
+ Assert(itemIndex <= MaxIndexTuplesPerPage(tde_nonce_size));
return itemIndex;
}
else
{
/* load items[] in descending order */
- itemIndex = MaxIndexTuplesPerPage;
+ itemIndex = MaxIndexTuplesPerPage(tde_nonce_size);
while (offnum >= FirstOffsetNumber)
{
diff --git a/src/backend/access/hash/hashutil.c b/src/backend/access/hash/hashutil.c
index 519872850e..eb8b3c0da0 100644
--- a/src/backend/access/hash/hashutil.c
+++ b/src/backend/access/hash/hashutil.c
@@ -17,6 +17,7 @@
#include "access/hash.h"
#include "access/reloptions.h"
#include "access/relscan.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "port/pg_bitutils.h"
#include "storage/buf_internals.h"
#include "utils/lsyscache.h"
@@ -229,7 +230,8 @@ _hash_checkpage(Relation rel, Buffer buf, int flags)
/*
* Additionally check that the special area looks sane.
*/
- if (PageGetSpecialSize(page) != MAXALIGN(sizeof(HashPageOpaqueData)))
+ if (PageGetSpecialSize(page) !=
+ MAXALIGN(sizeof(HashPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("index \"%s\" contains corrupted page at block %u",
diff --git a/src/backend/access/heap/heapam.c b/src/backend/access/heap/heapam.c
index 6ac07f2fda..af2b3f6433 100644
--- a/src/backend/access/heap/heapam.c
+++ b/src/backend/access/heap/heapam.c
@@ -475,7 +475,7 @@ heapgetpage(TableScanDesc sscan, BlockNumber page)
LockBuffer(buffer, BUFFER_LOCK_UNLOCK);
- Assert(ntup <= MaxHeapTuplesPerPage);
+ Assert(ntup <= MaxHeapTuplesPerPage(tde_nonce_size));
scan->rs_ntuples = ntup;
}
@@ -2349,7 +2349,8 @@ heap_prepare_insert(Relation relation, HeapTuple tup, TransactionId xid,
Assert(!HeapTupleHasExternal(tup));
return tup;
}
- else if (HeapTupleHasExternal(tup) || tup->t_len > TOAST_TUPLE_THRESHOLD)
+ else if (HeapTupleHasExternal(tup) || tup->t_len >
+ TOAST_TUPLE_THRESHOLD(tde_nonce_size))
return heap_toast_insert_or_update(relation, tup, NULL, options);
else
return tup;
@@ -3733,7 +3734,7 @@ l2:
else
need_toast = (HeapTupleHasExternal(&oldtup) ||
HeapTupleHasExternal(newtup) ||
- newtup->t_len > TOAST_TUPLE_THRESHOLD);
+ newtup->t_len > TOAST_TUPLE_THRESHOLD(tde_nonce_size));
pagefree = PageGetHeapFreeSpace(page);
@@ -8931,7 +8932,7 @@ heap_xlog_insert(XLogReaderState *record)
union
{
HeapTupleHeaderData hdr;
- char data[MaxHeapTupleSize];
+ char data[MaxHeapTupleSizeLimit];
} tbuf;
HeapTupleHeader htup;
xl_heap_header xlhdr;
@@ -8991,7 +8992,7 @@ heap_xlog_insert(XLogReaderState *record)
data = XLogRecGetBlockData(record, 0, &datalen);
newlen = datalen - SizeOfHeapHeader;
- Assert(datalen > SizeOfHeapHeader && newlen <= MaxHeapTupleSize);
+ Assert(datalen > SizeOfHeapHeader && newlen <= MaxHeapTupleSize(tde_nonce_size));
memcpy((char *) &xlhdr, data, SizeOfHeapHeader);
data += SizeOfHeapHeader;
@@ -9057,7 +9058,7 @@ heap_xlog_multi_insert(XLogReaderState *record)
union
{
HeapTupleHeaderData hdr;
- char data[MaxHeapTupleSize];
+ char data[MaxHeapTupleSizeLimit];
} tbuf;
HeapTupleHeader htup;
uint32 newlen;
@@ -9135,7 +9136,7 @@ heap_xlog_multi_insert(XLogReaderState *record)
tupdata = ((char *) xlhdr) + SizeOfMultiInsertTuple;
newlen = xlhdr->datalen;
- Assert(newlen <= MaxHeapTupleSize);
+ Assert(newlen <= MaxHeapTupleSize(tde_nonce_size));
htup = &tbuf.hdr;
MemSet((char *) htup, 0, SizeofHeapTupleHeader);
/* PG73FORMAT: get bitmap [+ padding] [+ oid] + data */
@@ -9214,7 +9215,7 @@ heap_xlog_update(XLogReaderState *record, bool hot_update)
union
{
HeapTupleHeaderData hdr;
- char data[MaxHeapTupleSize];
+ char data[MaxHeapTupleSizeLimit];
} tbuf;
xl_heap_header xlhdr;
uint32 newlen;
@@ -9370,7 +9371,7 @@ heap_xlog_update(XLogReaderState *record, bool hot_update)
recdata += SizeOfHeapHeader;
tuplen = recdata_end - recdata;
- Assert(tuplen <= MaxHeapTupleSize);
+ Assert(tuplen <= MaxHeapTupleSize(tde_nonce_size));
htup = &tbuf.hdr;
MemSet((char *) htup, 0, SizeofHeapTupleHeader);
diff --git a/src/backend/access/heap/heapam_handler.c b/src/backend/access/heap/heapam_handler.c
index 61d9044816..53dd147dbe 100644
--- a/src/backend/access/heap/heapam_handler.c
+++ b/src/backend/access/heap/heapam_handler.c
@@ -1185,7 +1185,7 @@ heapam_index_build_range_scan(Relation heapRelation,
TransactionId OldestXmin;
BlockNumber previous_blkno = InvalidBlockNumber;
BlockNumber root_blkno = InvalidBlockNumber;
- OffsetNumber root_offsets[MaxHeapTuplesPerPage];
+ OffsetNumber root_offsets[MaxHeapTuplesPerPageLimit];
/*
* sanity checks
@@ -1748,8 +1748,8 @@ heapam_index_validate_scan(Relation heapRelation,
EState *estate;
ExprContext *econtext;
BlockNumber root_blkno = InvalidBlockNumber;
- OffsetNumber root_offsets[MaxHeapTuplesPerPage];
- bool in_index[MaxHeapTuplesPerPage];
+ OffsetNumber root_offsets[MaxHeapTuplesPerPageLimit];
+ bool in_index[MaxHeapTuplesPerPageLimit];
BlockNumber previous_blkno = InvalidBlockNumber;
/* state variables for the merge */
@@ -2069,7 +2069,7 @@ heapam_relation_needs_toast_table(Relation rel)
tuple_length = MAXALIGN(SizeofHeapTupleHeader +
BITMAPLEN(tupdesc->natts)) +
MAXALIGN(data_length);
- return (tuple_length > TOAST_TUPLE_THRESHOLD);
+ return (tuple_length > TOAST_TUPLE_THRESHOLD(tde_nonce_size));
}
/*
@@ -2089,8 +2089,8 @@ heapam_relation_toast_am(Relation rel)
#define HEAP_OVERHEAD_BYTES_PER_TUPLE \
(MAXALIGN(SizeofHeapTupleHeader) + sizeof(ItemIdData))
-#define HEAP_USABLE_BYTES_PER_PAGE \
- (BLCKSZ - SizeOfPageHeaderData)
+#define HEAP_USABLE_BYTES_PER_PAGE(tdeNonceSize) \
+ (BLCKSZ - SizeOfPageHeaderData - MAXALIGN(tdeNonceSize))
static void
heapam_estimate_rel_size(Relation rel, int32 *attr_widths,
@@ -2100,7 +2100,7 @@ heapam_estimate_rel_size(Relation rel, int32 *attr_widths,
table_block_relation_estimate_size(rel, attr_widths, pages,
tuples, allvisfrac,
HEAP_OVERHEAD_BYTES_PER_TUPLE,
- HEAP_USABLE_BYTES_PER_PAGE);
+ HEAP_USABLE_BYTES_PER_PAGE(tde_nonce_size));
}
@@ -2216,7 +2216,7 @@ heapam_scan_bitmap_next_block(TableScanDesc scan,
LockBuffer(buffer, BUFFER_LOCK_UNLOCK);
- Assert(ntup <= MaxHeapTuplesPerPage);
+ Assert(ntup <= MaxHeapTuplesPerPage(tde_nonce_size));
hscan->rs_ntuples = ntup;
return ntup > 0;
diff --git a/src/backend/access/heap/heaptoast.c b/src/backend/access/heap/heaptoast.c
index 55bbe1d584..bdad0d761a 100644
--- a/src/backend/access/heap/heaptoast.c
+++ b/src/backend/access/heap/heaptoast.c
@@ -174,7 +174,7 @@ heap_toast_insert_or_update(Relation rel, HeapTuple newtup, HeapTuple oldtup,
hoff += BITMAPLEN(numAttrs);
hoff = MAXALIGN(hoff);
/* now convert to a limit on the tuple data size */
- maxDataLen = RelationGetToastTupleTarget(rel, TOAST_TUPLE_TARGET) - hoff;
+ maxDataLen = RelationGetToastTupleTarget(rel, TOAST_TUPLE_TARGET(tde_nonce_size)) - hoff;
/*
* Look for attributes with attstorage EXTENDED to compress. Also find
@@ -255,7 +255,7 @@ heap_toast_insert_or_update(Relation rel, HeapTuple newtup, HeapTuple oldtup,
* increase the target tuple size, so that MAIN attributes aren't stored
* externally unless really necessary.
*/
- maxDataLen = TOAST_TUPLE_TARGET_MAIN - hoff;
+ maxDataLen = TOAST_TUPLE_TARGET_MAIN(tde_nonce_size) - hoff;
while (heap_compute_data_size(tupleDesc,
toast_values, toast_isnull) > maxDataLen &&
@@ -634,21 +634,23 @@ heap_fetch_toast_slice(Relation toastrel, Oid valueid, int32 attrsize,
SysScanDesc toastscan;
HeapTuple ttup;
int32 expectedchunk;
- int32 totalchunks = ((attrsize - 1) / TOAST_MAX_CHUNK_SIZE) + 1;
+ int32 totalchunks;
int startchunk;
int endchunk;
int num_indexes;
int validIndex;
SnapshotData SnapshotToast;
+ totalchunks = ((attrsize - 1) / TOAST_MAX_CHUNK_SIZE(tde_nonce_size)) + 1;
+
/* Look for the valid index of toast relation */
validIndex = toast_open_indexes(toastrel,
AccessShareLock,
&toastidxs,
&num_indexes);
- startchunk = sliceoffset / TOAST_MAX_CHUNK_SIZE;
- endchunk = (sliceoffset + slicelength - 1) / TOAST_MAX_CHUNK_SIZE;
+ startchunk = sliceoffset / TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
+ endchunk = (sliceoffset + slicelength - 1) / TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
Assert(endchunk <= totalchunks);
/* Set up a scan key to fetch from the index. */
@@ -749,8 +751,13 @@ heap_fetch_toast_slice(Relation toastrel, Oid valueid, int32 attrsize,
curchunk,
startchunk, endchunk, valueid,
RelationGetRelationName(toastrel))));
- expected_size = curchunk < totalchunks - 1 ? TOAST_MAX_CHUNK_SIZE
- : attrsize - ((totalchunks - 1) * TOAST_MAX_CHUNK_SIZE);
+
+ if (curchunk < totalchunks - 1)
+ expected_size = TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
+ else
+ expected_size = attrsize - ((totalchunks - 1) *
+ TOAST_MAX_CHUNK_SIZE(tde_nonce_size));
+
if (chunksize != expected_size)
ereport(ERROR,
(errcode(ERRCODE_DATA_CORRUPTED),
@@ -765,12 +772,12 @@ heap_fetch_toast_slice(Relation toastrel, Oid valueid, int32 attrsize,
chcpystrt = 0;
chcpyend = chunksize - 1;
if (curchunk == startchunk)
- chcpystrt = sliceoffset % TOAST_MAX_CHUNK_SIZE;
+ chcpystrt = sliceoffset % TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
if (curchunk == endchunk)
- chcpyend = (sliceoffset + slicelength - 1) % TOAST_MAX_CHUNK_SIZE;
+ chcpyend = (sliceoffset + slicelength - 1) % TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
memcpy(VARDATA(result) +
- (curchunk * TOAST_MAX_CHUNK_SIZE - sliceoffset) + chcpystrt,
+ (curchunk * TOAST_MAX_CHUNK_SIZE(tde_nonce_size) - sliceoffset) + chcpystrt,
chunkdata + chcpystrt,
(chcpyend - chcpystrt) + 1);
diff --git a/src/backend/access/heap/hio.c b/src/backend/access/heap/hio.c
index d34edb4190..acc90105c9 100644
--- a/src/backend/access/heap/hio.c
+++ b/src/backend/access/heap/hio.c
@@ -354,11 +354,11 @@ RelationGetBufferForTuple(Relation relation, Size len,
/*
* If we're gonna fail for oversize tuple, do it right away
*/
- if (len > MaxHeapTupleSize)
+ if (len > MaxHeapTupleSize(tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("row is too big: size %zu, maximum size %zu",
- len, MaxHeapTupleSize)));
+ len, MaxHeapTupleSize(tde_nonce_size))));
/* Compute desired extra freespace due to fillfactor option */
saveFreeSpace = RelationGetTargetPageFreeSpace(relation,
@@ -370,8 +370,8 @@ RelationGetBufferForTuple(Relation relation, Size len,
* somewhat arbitrary, but it should prevent most unnecessary relation
* extensions while inserting large tuples into low-fillfactor tables.
*/
- nearlyEmptyFreeSpace = MaxHeapTupleSize -
- (MaxHeapTuplesPerPage / 8 * sizeof(ItemIdData));
+ nearlyEmptyFreeSpace = MaxHeapTupleSize(tde_nonce_size) -
+ (MaxHeapTuplesPerPage(tde_nonce_size) / 8 * sizeof(ItemIdData));
if (len + saveFreeSpace > nearlyEmptyFreeSpace)
targetFreeSpace = Max(len, nearlyEmptyFreeSpace);
else
diff --git a/src/backend/access/heap/pruneheap.c b/src/backend/access/heap/pruneheap.c
index 15ca1b304a..3d1f3c7b42 100644
--- a/src/backend/access/heap/pruneheap.c
+++ b/src/backend/access/heap/pruneheap.c
@@ -53,11 +53,11 @@ typedef struct
int ndead;
int nunused;
/* arrays that accumulate indexes of items to be changed */
- OffsetNumber redirected[MaxHeapTuplesPerPage * 2];
- OffsetNumber nowdead[MaxHeapTuplesPerPage];
- OffsetNumber nowunused[MaxHeapTuplesPerPage];
+ OffsetNumber redirected[MaxHeapTuplesPerPageLimit * 2];
+ OffsetNumber nowdead[MaxHeapTuplesPerPageLimit];
+ OffsetNumber nowunused[MaxHeapTuplesPerPageLimit];
/* marked[i] is true if item i is entered in one of the above arrays */
- bool marked[MaxHeapTuplesPerPage + 1];
+ bool marked[MaxHeapTuplesPerPageLimit + 1];
} PruneState;
/* Local functions */
@@ -517,7 +517,7 @@ heap_prune_chain(Buffer buffer, OffsetNumber rootoffnum, PruneState *prstate)
OffsetNumber latestdead = InvalidOffsetNumber,
maxoff = PageGetMaxOffsetNumber(dp),
offnum;
- OffsetNumber chainitems[MaxHeapTuplesPerPage];
+ OffsetNumber chainitems[MaxHeapTuplesPerPageLimit];
int nchain = 0,
i;
HeapTupleData tup;
@@ -791,7 +791,7 @@ static void
heap_prune_record_redirect(PruneState *prstate,
OffsetNumber offnum, OffsetNumber rdoffnum)
{
- Assert(prstate->nredirected < MaxHeapTuplesPerPage);
+ Assert(prstate->nredirected < MaxHeapTuplesPerPage(tde_nonce_size));
prstate->redirected[prstate->nredirected * 2] = offnum;
prstate->redirected[prstate->nredirected * 2 + 1] = rdoffnum;
prstate->nredirected++;
@@ -805,7 +805,7 @@ heap_prune_record_redirect(PruneState *prstate,
static void
heap_prune_record_dead(PruneState *prstate, OffsetNumber offnum)
{
- Assert(prstate->ndead < MaxHeapTuplesPerPage);
+ Assert(prstate->ndead < MaxHeapTuplesPerPage(tde_nonce_size));
prstate->nowdead[prstate->ndead] = offnum;
prstate->ndead++;
Assert(!prstate->marked[offnum]);
@@ -816,7 +816,7 @@ heap_prune_record_dead(PruneState *prstate, OffsetNumber offnum)
static void
heap_prune_record_unused(PruneState *prstate, OffsetNumber offnum)
{
- Assert(prstate->nunused < MaxHeapTuplesPerPage);
+ Assert(prstate->nunused < MaxHeapTuplesPerPage(tde_nonce_size));
prstate->nowunused[prstate->nunused] = offnum;
prstate->nunused++;
Assert(!prstate->marked[offnum]);
@@ -903,7 +903,7 @@ heap_get_root_tuples(Page page, OffsetNumber *root_offsets)
maxoff;
MemSet(root_offsets, InvalidOffsetNumber,
- MaxHeapTuplesPerPage * sizeof(OffsetNumber));
+ MaxHeapTuplesPerPage(tde_nonce_size) * sizeof(OffsetNumber));
maxoff = PageGetMaxOffsetNumber(page);
for (offnum = FirstOffsetNumber; offnum <= maxoff; offnum = OffsetNumberNext(offnum))
diff --git a/src/backend/access/heap/rewriteheap.c b/src/backend/access/heap/rewriteheap.c
index 1aff62cd42..4e37187378 100644
--- a/src/backend/access/heap/rewriteheap.c
+++ b/src/backend/access/heap/rewriteheap.c
@@ -637,7 +637,8 @@ raw_heap_insert(RewriteState state, HeapTuple tup)
Assert(!HeapTupleHasExternal(tup));
heaptup = tup;
}
- else if (HeapTupleHasExternal(tup) || tup->t_len > TOAST_TUPLE_THRESHOLD)
+ else if (HeapTupleHasExternal(tup) ||
+ tup->t_len > TOAST_TUPLE_THRESHOLD(tde_nonce_size))
{
int options = HEAP_INSERT_SKIP_FSM;
@@ -659,11 +660,11 @@ raw_heap_insert(RewriteState state, HeapTuple tup)
/*
* If we're gonna fail for oversize tuple, do it right away
*/
- if (len > MaxHeapTupleSize)
+ if (len > MaxHeapTupleSize(tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("row is too big: size %zu, maximum size %zu",
- len, MaxHeapTupleSize)));
+ len, MaxHeapTupleSize(tde_nonce_size))));
/* Compute desired extra freespace due to fillfactor option */
saveFreeSpace = RelationGetTargetPageFreeSpace(state->rs_new_rel,
diff --git a/src/backend/access/heap/vacuumlazy.c b/src/backend/access/heap/vacuumlazy.c
index 9f1f8e340d..08b50e4d2f 100644
--- a/src/backend/access/heap/vacuumlazy.c
+++ b/src/backend/access/heap/vacuumlazy.c
@@ -130,7 +130,7 @@
* provide an upper limit to memory allocated when vacuuming small
* tables.
*/
-#define LAZY_ALLOC_TUPLES MaxHeapTuplesPerPage
+#define LAZY_ALLOC_TUPLES(tdeNonceSize) MaxHeapTuplesPerPage(tdeNonceSize)
/*
* Before we consider skipping a page that's marked as clean in
@@ -1136,7 +1136,8 @@ lazy_scan_heap(LVRelState *vacrel, VacuumParams *params, bool aggressive)
* dead-tuple TIDs, pause and do a cycle of vacuuming before we tackle
* this page.
*/
- if ((dead_tuples->max_tuples - dead_tuples->num_tuples) < MaxHeapTuplesPerPage &&
+ if ((dead_tuples->max_tuples - dead_tuples->num_tuples) <
+ MaxHeapTuplesPerPage(tde_nonce_size) &&
dead_tuples->num_tuples > 0)
{
/*
@@ -1686,8 +1687,8 @@ lazy_scan_prune(LVRelState *vacrel,
num_tuples,
live_tuples;
int nfrozen;
- OffsetNumber deadoffsets[MaxHeapTuplesPerPage];
- xl_heap_freeze_tuple frozen[MaxHeapTuplesPerPage];
+ OffsetNumber deadoffsets[MaxHeapTuplesPerPageLimit];
+ xl_heap_freeze_tuple frozen[MaxHeapTuplesPerPageLimit];
maxoff = PageGetMaxOffsetNumber(page);
@@ -2385,7 +2386,7 @@ lazy_vacuum_heap_page(LVRelState *vacrel, BlockNumber blkno, Buffer buffer,
{
LVDeadTuples *dead_tuples = vacrel->dead_tuples;
Page page = BufferGetPage(buffer);
- OffsetNumber unused[MaxHeapTuplesPerPage];
+ OffsetNumber unused[MaxHeapTuplesPerPageLimit];
int uncnt = 0;
TransactionId visibility_cutoff_xid;
bool all_frozen;
@@ -3449,14 +3450,14 @@ compute_max_dead_tuples(BlockNumber relblocks, bool hasindex)
maxtuples = Min(maxtuples, MAXDEADTUPLES(MaxAllocSize));
/* curious coding here to ensure the multiplication can't overflow */
- if ((BlockNumber) (maxtuples / LAZY_ALLOC_TUPLES) > relblocks)
- maxtuples = relblocks * LAZY_ALLOC_TUPLES;
+ if ((BlockNumber) (maxtuples / LAZY_ALLOC_TUPLES(tde_nonce_size)) > relblocks)
+ maxtuples = relblocks * LAZY_ALLOC_TUPLES(tde_nonce_size);
/* stay sane if small maintenance_work_mem */
- maxtuples = Max(maxtuples, MaxHeapTuplesPerPage);
+ maxtuples = Max(maxtuples, MaxHeapTuplesPerPage(tde_nonce_size));
}
else
- maxtuples = MaxHeapTuplesPerPage;
+ maxtuples = MaxHeapTuplesPerPage(tde_nonce_size);
return maxtuples;
}
diff --git a/src/backend/access/heap/visibilitymap.c b/src/backend/access/heap/visibilitymap.c
index e198df65d8..d896cf12d6 100644
--- a/src/backend/access/heap/visibilitymap.c
+++ b/src/backend/access/heap/visibilitymap.c
@@ -104,17 +104,20 @@
* extra headers, so the whole page minus the standard page header is
* used for the bitmap.
*/
-#define MAPSIZE (BLCKSZ - MAXALIGN(SizeOfPageHeaderData))
+#define MAPMAXSIZE (BLCKSZ - MAXALIGN(SizeOfPageHeaderData))
+
+#define MAPSIZE(tdeNonceSize) (BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - \
+ MAXALIGN(tdeNonceSize))
/* Number of heap blocks we can represent in one byte */
#define HEAPBLOCKS_PER_BYTE (BITS_PER_BYTE / BITS_PER_HEAPBLOCK)
/* Number of heap blocks we can represent in one visibility map page. */
-#define HEAPBLOCKS_PER_PAGE (MAPSIZE * HEAPBLOCKS_PER_BYTE)
+#define HEAPBLOCKS_PER_PAGE(tdeNonceSize) (MAPSIZE(tdeNonceSize) * HEAPBLOCKS_PER_BYTE)
/* Mapping from heap block number to the right bit in the visibility map */
-#define HEAPBLK_TO_MAPBLOCK(x) ((x) / HEAPBLOCKS_PER_PAGE)
-#define HEAPBLK_TO_MAPBYTE(x) (((x) % HEAPBLOCKS_PER_PAGE) / HEAPBLOCKS_PER_BYTE)
+#define HEAPBLK_TO_MAPBLOCK(x, tdeNonceSize) ((x) / HEAPBLOCKS_PER_PAGE(tdeNonceSize))
+#define HEAPBLK_TO_MAPBYTE(x, tdeNonceSize) (((x) % HEAPBLOCKS_PER_PAGE(tdeNonceSize)) / HEAPBLOCKS_PER_BYTE)
#define HEAPBLK_TO_OFFSET(x) (((x) % HEAPBLOCKS_PER_BYTE) * BITS_PER_HEAPBLOCK)
/* Masks for counting subsets of bits in the visibility map. */
@@ -138,8 +141,8 @@ static void vm_extend(Relation rel, BlockNumber vm_nblocks);
bool
visibilitymap_clear(Relation rel, BlockNumber heapBlk, Buffer buf, uint8 flags)
{
- BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk);
- int mapByte = HEAPBLK_TO_MAPBYTE(heapBlk);
+ BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk, tde_nonce_size);
+ int mapByte = HEAPBLK_TO_MAPBYTE(heapBlk, tde_nonce_size);
int mapOffset = HEAPBLK_TO_OFFSET(heapBlk);
uint8 mask = flags << mapOffset;
char *map;
@@ -189,7 +192,7 @@ visibilitymap_clear(Relation rel, BlockNumber heapBlk, Buffer buf, uint8 flags)
void
visibilitymap_pin(Relation rel, BlockNumber heapBlk, Buffer *buf)
{
- BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk);
+ BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk, tde_nonce_size);
/* Reuse the old pinned buffer if possible */
if (BufferIsValid(*buf))
@@ -213,7 +216,7 @@ visibilitymap_pin(Relation rel, BlockNumber heapBlk, Buffer *buf)
bool
visibilitymap_pin_ok(BlockNumber heapBlk, Buffer buf)
{
- BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk);
+ BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk, tde_nonce_size);
return BufferIsValid(buf) && BufferGetBlockNumber(buf) == mapBlock;
}
@@ -244,8 +247,8 @@ visibilitymap_set(Relation rel, BlockNumber heapBlk, Buffer heapBuf,
XLogRecPtr recptr, Buffer vmBuf, TransactionId cutoff_xid,
uint8 flags)
{
- BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk);
- uint32 mapByte = HEAPBLK_TO_MAPBYTE(heapBlk);
+ BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk, tde_nonce_size);
+ uint32 mapByte = HEAPBLK_TO_MAPBYTE(heapBlk, tde_nonce_size);
uint8 mapOffset = HEAPBLK_TO_OFFSET(heapBlk);
Page page;
uint8 *map;
@@ -329,8 +332,8 @@ visibilitymap_set(Relation rel, BlockNumber heapBlk, Buffer heapBuf,
uint8
visibilitymap_get_status(Relation rel, BlockNumber heapBlk, Buffer *buf)
{
- BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk);
- uint32 mapByte = HEAPBLK_TO_MAPBYTE(heapBlk);
+ BlockNumber mapBlock = HEAPBLK_TO_MAPBLOCK(heapBlk, tde_nonce_size);
+ uint32 mapByte = HEAPBLK_TO_MAPBYTE(heapBlk, tde_nonce_size);
uint8 mapOffset = HEAPBLK_TO_OFFSET(heapBlk);
char *map;
uint8 result;
@@ -406,16 +409,17 @@ visibilitymap_count(Relation rel, BlockNumber *all_visible, BlockNumber *all_fro
*/
map = (uint64 *) PageGetContents(BufferGetPage(mapBuffer));
- StaticAssertStmt(MAPSIZE % sizeof(uint64) == 0,
- "unsupported MAPSIZE");
+ if (MAPSIZE(tde_nonce_size) % sizeof(uint64) != 0)
+ elog(ERROR, "unsupported MAPSIZE");
+
if (all_frozen == NULL)
{
- for (i = 0; i < MAPSIZE / sizeof(uint64); i++)
+ for (i = 0; i < MAPSIZE(tde_nonce_size) / sizeof(uint64); i++)
nvisible += pg_popcount64(map[i] & VISIBLE_MASK64);
}
else
{
- for (i = 0; i < MAPSIZE / sizeof(uint64); i++)
+ for (i = 0; i < MAPSIZE(tde_nonce_size) / sizeof(uint64); i++)
{
nvisible += pg_popcount64(map[i] & VISIBLE_MASK64);
nfrozen += pg_popcount64(map[i] & FROZEN_MASK64);
@@ -447,8 +451,8 @@ visibilitymap_prepare_truncate(Relation rel, BlockNumber nheapblocks)
BlockNumber newnblocks;
/* last remaining block, byte, and bit */
- BlockNumber truncBlock = HEAPBLK_TO_MAPBLOCK(nheapblocks);
- uint32 truncByte = HEAPBLK_TO_MAPBYTE(nheapblocks);
+ BlockNumber truncBlock = HEAPBLK_TO_MAPBLOCK(nheapblocks, tde_nonce_size);
+ uint32 truncByte = HEAPBLK_TO_MAPBYTE(nheapblocks, tde_nonce_size);
uint8 truncOffset = HEAPBLK_TO_OFFSET(nheapblocks);
#ifdef TRACE_VISIBILITYMAP
@@ -495,7 +499,7 @@ visibilitymap_prepare_truncate(Relation rel, BlockNumber nheapblocks)
START_CRIT_SECTION();
/* Clear out the unwanted bytes. */
- MemSet(&map[truncByte + 1], 0, MAPSIZE - (truncByte + 1));
+ MemSet(&map[truncByte + 1], 0, MAPSIZE(tde_nonce_size) - (truncByte + 1));
/*----
* Mask out the unwanted bits of the last remaining byte.
diff --git a/src/backend/access/nbtree/nbtdedup.c b/src/backend/access/nbtree/nbtdedup.c
index 271994b08d..58e579b3a9 100644
--- a/src/backend/access/nbtree/nbtdedup.c
+++ b/src/backend/access/nbtree/nbtdedup.c
@@ -80,7 +80,7 @@ _bt_dedup_pass(Relation rel, Buffer buf, Relation heapRel, IndexTuple newitem,
state = (BTDedupState) palloc(sizeof(BTDedupStateData));
state->deduplicate = true;
state->nmaxitems = 0;
- state->maxpostingsize = Min(BTMaxItemSize(page) / 2, INDEX_SIZE_MASK);
+ state->maxpostingsize = Min(BTMaxItemSize(page, tde_nonce_size) / 2, INDEX_SIZE_MASK);
/* Metadata about base tuple of current pending posting list */
state->base = NULL;
state->baseoff = InvalidOffsetNumber;
@@ -821,7 +821,7 @@ _bt_singleval_fillfactor(Page page, BTDedupState state, Size newitemsz)
/* This calculation needs to match nbtsplitloc.c */
leftfree = PageGetPageSize(page) - SizeOfPageHeaderData -
- MAXALIGN(sizeof(BTPageOpaqueData));
+ MAXALIGN(sizeof(BTPageOpaqueData) + tde_nonce_size);
/* Subtract size of new high key (includes pivot heap TID space) */
leftfree -= newitemsz + MAXALIGN(sizeof(ItemPointerData));
diff --git a/src/backend/access/nbtree/nbtinsert.c b/src/backend/access/nbtree/nbtinsert.c
index 6ac205c98e..a2976310b2 100644
--- a/src/backend/access/nbtree/nbtinsert.c
+++ b/src/backend/access/nbtree/nbtinsert.c
@@ -827,7 +827,7 @@ _bt_findinsertloc(Relation rel,
opaque = (BTPageOpaque) PageGetSpecialPointer(page);
/* Check 1/3 of a page restriction */
- if (unlikely(insertstate->itemsz > BTMaxItemSize(page)))
+ if (unlikely(insertstate->itemsz > BTMaxItemSize(page, tde_nonce_size)))
_bt_check_third_page(rel, heapRel, itup_key->heapkeyspace, page,
insertstate->itup);
@@ -2655,7 +2655,7 @@ _bt_delete_or_dedup_one_page(Relation rel, Relation heapRel,
bool simpleonly, bool checkingunique,
bool uniquedup, bool indexUnchanged)
{
- OffsetNumber deletable[MaxIndexTuplesPerPage];
+ OffsetNumber deletable[MaxIndexTuplesPerPageLimit];
int ndeletable = 0;
OffsetNumber offnum,
minoff,
diff --git a/src/backend/access/nbtree/nbtpage.c b/src/backend/access/nbtree/nbtpage.c
index ebec8fa5b8..8fcd9bc426 100644
--- a/src/backend/access/nbtree/nbtpage.c
+++ b/src/backend/access/nbtree/nbtpage.c
@@ -812,7 +812,8 @@ _bt_checkpage(Relation rel, Buffer buf)
/*
* Additionally check that the special area looks sane.
*/
- if (PageGetSpecialSize(page) != MAXALIGN(sizeof(BTPageOpaqueData)))
+ if (PageGetSpecialSize(page) !=
+ MAXALIGN(sizeof(BTPageOpaqueData) + tde_nonce_size))
ereport(ERROR,
(errcode(ERRCODE_INDEX_CORRUPTED),
errmsg("index \"%s\" contains corrupted page at block %u",
@@ -1173,7 +1174,7 @@ _bt_delitems_vacuum(Relation rel, Buffer buf,
bool needswal = RelationNeedsWAL(rel);
char *updatedbuf = NULL;
Size updatedbuflen = 0;
- OffsetNumber updatedoffsets[MaxIndexTuplesPerPage];
+ OffsetNumber updatedoffsets[MaxIndexTuplesPerPageLimit];
/* Shouldn't be called unless there's something to do */
Assert(ndeletable > 0 || nupdatable > 0);
@@ -1303,7 +1304,7 @@ _bt_delitems_delete(Relation rel, Buffer buf, TransactionId latestRemovedXid,
bool needswal = RelationNeedsWAL(rel);
char *updatedbuf = NULL;
Size updatedbuflen = 0;
- OffsetNumber updatedoffsets[MaxIndexTuplesPerPage];
+ OffsetNumber updatedoffsets[MaxIndexTuplesPerPageLimit];
/* Shouldn't be called unless there's something to do */
Assert(ndeletable > 0 || nupdatable > 0);
@@ -1534,8 +1535,8 @@ _bt_delitems_delete_check(Relation rel, Buffer buf, Relation heapRel,
OffsetNumber postingidxoffnum = InvalidOffsetNumber;
int ndeletable = 0,
nupdatable = 0;
- OffsetNumber deletable[MaxIndexTuplesPerPage];
- BTVacuumPosting updatable[MaxIndexTuplesPerPage];
+ OffsetNumber deletable[MaxIndexTuplesPerPageLimit];
+ BTVacuumPosting updatable[MaxIndexTuplesPerPageLimit];
/* Use tableam interface to determine which tuples to delete first */
latestRemovedXid = table_index_delete_tuples(heapRel, delstate);
diff --git a/src/backend/access/nbtree/nbtree.c b/src/backend/access/nbtree/nbtree.c
index 1360ab80c1..f01bee76b5 100644
--- a/src/backend/access/nbtree/nbtree.c
+++ b/src/backend/access/nbtree/nbtree.c
@@ -1150,9 +1150,9 @@ backtrack:
}
else if (P_ISLEAF(opaque))
{
- OffsetNumber deletable[MaxIndexTuplesPerPage];
+ OffsetNumber deletable[MaxIndexTuplesPerPageLimit];
int ndeletable;
- BTVacuumPosting updatable[MaxIndexTuplesPerPage];
+ BTVacuumPosting updatable[MaxIndexTuplesPerPageLimit];
int nupdatable;
OffsetNumber offnum,
minoff,
diff --git a/src/backend/access/nbtree/nbtsort.c b/src/backend/access/nbtree/nbtsort.c
index 2c4d7f6e25..de1e88a2bc 100644
--- a/src/backend/access/nbtree/nbtsort.c
+++ b/src/backend/access/nbtree/nbtsort.c
@@ -874,7 +874,7 @@ _bt_buildadd(BTWriteState *wstate, BTPageState *state, IndexTuple itup,
* make use of the reserved space. This should never fail on internal
* pages.
*/
- if (unlikely(itupsz > BTMaxItemSize(npage)))
+ if (unlikely(itupsz > BTMaxItemSize(npage, tde_nonce_size)))
_bt_check_third_page(wstate->index, wstate->heap, isleaf, npage,
itup);
@@ -1346,7 +1346,8 @@ _bt_load(BTWriteState *wstate, BTSpool *btspool, BTSpool *btspool2)
*/
dstate->maxpostingsize = MAXALIGN_DOWN((BLCKSZ * 10 / 100)) -
sizeof(ItemIdData);
- Assert(dstate->maxpostingsize <= BTMaxItemSize(state->btps_page) &&
+ Assert(dstate->maxpostingsize <=
+ BTMaxItemSize(state->btps_page, tde_nonce_size) &&
dstate->maxpostingsize <= INDEX_SIZE_MASK);
dstate->htids = palloc(dstate->maxpostingsize);
diff --git a/src/backend/access/nbtree/nbtsplitloc.c b/src/backend/access/nbtree/nbtsplitloc.c
index 3485e93ef6..9464de15ce 100644
--- a/src/backend/access/nbtree/nbtsplitloc.c
+++ b/src/backend/access/nbtree/nbtsplitloc.c
@@ -158,7 +158,7 @@ _bt_findsplitloc(Relation rel,
/* Total free space available on a btree page, after fixed overhead */
leftspace = rightspace =
PageGetPageSize(origpage) - SizeOfPageHeaderData -
- MAXALIGN(sizeof(BTPageOpaqueData));
+ MAXALIGN(sizeof(BTPageOpaqueData) + tde_nonce_size);
/* The right page will have the same high key as the old page */
if (!P_RIGHTMOST(opaque))
diff --git a/src/backend/access/nbtree/nbtutils.c b/src/backend/access/nbtree/nbtutils.c
index d524310723..c836ecd8d6 100644
--- a/src/backend/access/nbtree/nbtutils.c
+++ b/src/backend/access/nbtree/nbtutils.c
@@ -2640,7 +2640,7 @@ _bt_check_third_page(Relation rel, Relation heap, bool needheaptidspace,
itemsz = MAXALIGN(IndexTupleSize(newtup));
/* Double check item size against limit */
- if (itemsz <= BTMaxItemSize(page))
+ if (itemsz <= BTMaxItemSize(page, tde_nonce_size))
return;
/*
@@ -2648,7 +2648,7 @@ _bt_check_third_page(Relation rel, Relation heap, bool needheaptidspace,
* index uses version 2 or version 3, or that page is an internal page, in
* which case a slightly higher limit applies.
*/
- if (!needheaptidspace && itemsz <= BTMaxItemSizeNoHeapTid(page))
+ if (!needheaptidspace && itemsz <= BTMaxItemSizeNoHeapTid(page, tde_nonce_size))
return;
/*
@@ -2665,8 +2665,8 @@ _bt_check_third_page(Relation rel, Relation heap, bool needheaptidspace,
errmsg("index row size %zu exceeds btree version %u maximum %zu for index \"%s\"",
itemsz,
needheaptidspace ? BTREE_VERSION : BTREE_NOVAC_VERSION,
- needheaptidspace ? BTMaxItemSize(page) :
- BTMaxItemSizeNoHeapTid(page),
+ needheaptidspace ? BTMaxItemSize(page, tde_nonce_size) :
+ BTMaxItemSizeNoHeapTid(page, tde_nonce_size),
RelationGetRelationName(rel)),
errdetail("Index row references tuple (%u,%u) in relation \"%s\".",
ItemPointerGetBlockNumber(BTreeTupleGetHeapTID(newtup)),
diff --git a/src/backend/access/nbtree/nbtxlog.c b/src/backend/access/nbtree/nbtxlog.c
index c2e920f159..06642dda32 100644
--- a/src/backend/access/nbtree/nbtxlog.c
+++ b/src/backend/access/nbtree/nbtxlog.c
@@ -40,8 +40,8 @@ _bt_restore_page(Page page, char *from, int len)
IndexTupleData itupdata;
Size itemsz;
char *end = from + len;
- Item items[MaxIndexTuplesPerPage];
- uint16 itemsizes[MaxIndexTuplesPerPage];
+ Item items[MaxIndexTuplesPerPageLimit];
+ uint16 itemsizes[MaxIndexTuplesPerPageLimit];
int i;
int nitems;
@@ -486,7 +486,7 @@ btree_xlog_dedup(XLogReaderState *record)
state->deduplicate = true; /* unused */
state->nmaxitems = 0; /* unused */
/* Conservatively use larger maxpostingsize than primary */
- state->maxpostingsize = BTMaxItemSize(page);
+ state->maxpostingsize = BTMaxItemSize(page, tde_nonce_size);
state->base = NULL;
state->baseoff = InvalidOffsetNumber;
state->basetupsize = 0;
diff --git a/src/backend/access/spgist/spgdoinsert.c b/src/backend/access/spgist/spgdoinsert.c
index 70557bcf3d..83f5fab5b5 100644
--- a/src/backend/access/spgist/spgdoinsert.c
+++ b/src/backend/access/spgist/spgdoinsert.c
@@ -134,7 +134,7 @@ spgPageIndexMultiDelete(SpGistState *state, Page page,
BlockNumber blkno, OffsetNumber offnum)
{
OffsetNumber firstItem;
- OffsetNumber sortednos[MaxIndexTuplesPerPage];
+ OffsetNumber sortednos[MaxIndexTuplesPerPageLimit];
SpGistDeadTuple tuple = NULL;
int i;
@@ -897,7 +897,7 @@ doPickSplit(Relation index, SpGistState *state,
* fit on one page.
*/
allTheSame = checkAllTheSame(&in, &out,
- totalLeafSizes > SPGIST_PAGE_CAPACITY,
+ totalLeafSizes > SPGIST_PAGE_CAPACITY(tde_nonce_size),
&includeNew);
/*
@@ -1028,7 +1028,8 @@ doPickSplit(Relation index, SpGistState *state,
for (i = 0; i < nToInsert; i++)
leafPageSelect[i] = 0; /* signifies current page */
}
- else if (in.nTuples == 1 && totalLeafSizes > SPGIST_PAGE_CAPACITY)
+ else if (in.nTuples == 1 && totalLeafSizes >
+ SPGIST_PAGE_CAPACITY(tde_nonce_size))
{
/*
* We're trying to split up a long value by repeated suffixing, but
@@ -1049,7 +1050,7 @@ doPickSplit(Relation index, SpGistState *state,
newLeafBuffer = SpGistGetBuffer(index,
GBUF_LEAF | (isNulls ? GBUF_NULLS : 0),
Min(totalLeafSizes,
- SPGIST_PAGE_CAPACITY),
+ SPGIST_PAGE_CAPACITY(tde_nonce_size)),
&xlrec.initDest);
/*
@@ -1993,13 +1994,13 @@ spgdoinsert(Relation index, SpGistState *state,
* If it isn't gonna fit, and the opclass can't reduce the datum size by
* suffixing, bail out now rather than doing a lot of useless work.
*/
- if (leafSize > SPGIST_PAGE_CAPACITY &&
+ if (leafSize > SPGIST_PAGE_CAPACITY(tde_nonce_size) &&
(isnull || !state->config.longValuesOK))
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
leafSize - sizeof(ItemIdData),
- SPGIST_PAGE_CAPACITY - sizeof(ItemIdData),
+ SPGIST_PAGE_CAPACITY(tde_nonce_size) - sizeof(ItemIdData),
RelationGetRelationName(index)),
errhint("Values larger than a buffer page cannot be indexed.")));
bestLeafSize = leafSize;
@@ -2057,7 +2058,7 @@ spgdoinsert(Relation index, SpGistState *state,
current.buffer =
SpGistGetBuffer(index,
GBUF_LEAF | (isnull ? GBUF_NULLS : 0),
- Min(leafSize, SPGIST_PAGE_CAPACITY),
+ Min(leafSize, SPGIST_PAGE_CAPACITY(tde_nonce_size)),
&isNew);
current.blkno = BufferGetBlockNumber(current.buffer);
}
@@ -2118,11 +2119,12 @@ spgdoinsert(Relation index, SpGistState *state,
¤t, &parent, isnull, isNew);
break;
}
- else if ((sizeToSplit =
- checkSplitConditions(index, state, ¤t,
- &nToSplit)) < SPGIST_PAGE_CAPACITY / 2 &&
+ else if ((sizeToSplit = checkSplitConditions(index, state, ¤t,
+ &nToSplit)) <
+ SPGIST_PAGE_CAPACITY(tde_nonce_size) / 2 &&
nToSplit < 64 &&
- leafTuple->size + sizeof(ItemIdData) + sizeToSplit <= SPGIST_PAGE_CAPACITY)
+ leafTuple->size + sizeof(ItemIdData) +
+ sizeToSplit <= SPGIST_PAGE_CAPACITY(tde_nonce_size))
{
/*
* the amount of data is pretty small, so just move the whole
@@ -2254,7 +2256,7 @@ spgdoinsert(Relation index, SpGistState *state,
* than MAXALIGN, to accommodate opclasses that trim one
* byte from the leaf datum per pass.)
*/
- if (leafSize > SPGIST_PAGE_CAPACITY)
+ if (leafSize > SPGIST_PAGE_CAPACITY(tde_nonce_size))
{
bool ok = false;
@@ -2274,7 +2276,7 @@ spgdoinsert(Relation index, SpGistState *state,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("index row size %zu exceeds maximum %zu for index \"%s\"",
leafSize - sizeof(ItemIdData),
- SPGIST_PAGE_CAPACITY - sizeof(ItemIdData),
+ SPGIST_PAGE_CAPACITY(tde_nonce_size) - sizeof(ItemIdData),
RelationGetRelationName(index)),
errhint("Values larger than a buffer page cannot be indexed.")));
}
diff --git a/src/backend/access/spgist/spgscan.c b/src/backend/access/spgist/spgscan.c
index e14b9fa573..d0375a98f9 100644
--- a/src/backend/access/spgist/spgscan.c
+++ b/src/backend/access/spgist/spgscan.c
@@ -958,7 +958,7 @@ storeGettuple(SpGistScanOpaque so, ItemPointer heapPtr,
SpGistLeafTuple leafTuple, bool recheck,
bool recheckDistances, double *nonNullDistances)
{
- Assert(so->nPtrs < MaxIndexTuplesPerPage);
+ Assert(so->nPtrs < MaxIndexTuplesPerPage(tde_nonce_size));
so->heapPtrs[so->nPtrs] = *heapPtr;
so->recheck[so->nPtrs] = recheck;
so->recheckDistances[so->nPtrs] = recheckDistances;
diff --git a/src/backend/access/spgist/spgutils.c b/src/backend/access/spgist/spgutils.c
index 8d99c9b762..3e1e67cc16 100644
--- a/src/backend/access/spgist/spgutils.c
+++ b/src/backend/access/spgist/spgutils.c
@@ -540,7 +540,7 @@ SpGistGetBuffer(Relation index, int flags, int needSpace, bool *isNew)
SpGistLastUsedPage *lup;
/* Bail out if even an empty page wouldn't meet the demand */
- if (needSpace > SPGIST_PAGE_CAPACITY)
+ if (needSpace > SPGIST_PAGE_CAPACITY(tde_nonce_size))
elog(ERROR, "desired SPGiST tuple size is too big");
/*
@@ -551,7 +551,7 @@ SpGistGetBuffer(Relation index, int flags, int needSpace, bool *isNew)
* error for requests that would otherwise be legal.
*/
needSpace += SpGistGetTargetPageFreeSpace(index);
- needSpace = Min(needSpace, SPGIST_PAGE_CAPACITY);
+ needSpace = Min(needSpace, SPGIST_PAGE_CAPACITY(tde_nonce_size));
/* Get the cache entry for this flags setting */
lup = GET_LUP(cache, flags);
@@ -999,12 +999,12 @@ spgFormInnerTuple(SpGistState *state, bool hasPrefix, Datum prefix,
/*
* Inner tuple should be small enough to fit on a page
*/
- if (size > SPGIST_PAGE_CAPACITY - sizeof(ItemIdData))
+ if (size > SPGIST_PAGE_CAPACITY(tde_nonce_size) - sizeof(ItemIdData))
ereport(ERROR,
(errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
errmsg("SP-GiST inner tuple size %zu exceeds maximum %zu",
(Size) size,
- SPGIST_PAGE_CAPACITY - sizeof(ItemIdData)),
+ SPGIST_PAGE_CAPACITY(tde_nonce_size) - sizeof(ItemIdData)),
errhint("Values larger than a buffer page cannot be indexed.")));
/*
diff --git a/src/backend/access/spgist/spgvacuum.c b/src/backend/access/spgist/spgvacuum.c
index 76fb0374c4..5e8b349be5 100644
--- a/src/backend/access/spgist/spgvacuum.c
+++ b/src/backend/access/spgist/spgvacuum.c
@@ -128,14 +128,14 @@ vacuumLeafPage(spgBulkDeleteState *bds, Relation index, Buffer buffer,
{
Page page = BufferGetPage(buffer);
spgxlogVacuumLeaf xlrec;
- OffsetNumber toDead[MaxIndexTuplesPerPage];
- OffsetNumber toPlaceholder[MaxIndexTuplesPerPage];
- OffsetNumber moveSrc[MaxIndexTuplesPerPage];
- OffsetNumber moveDest[MaxIndexTuplesPerPage];
- OffsetNumber chainSrc[MaxIndexTuplesPerPage];
- OffsetNumber chainDest[MaxIndexTuplesPerPage];
- OffsetNumber predecessor[MaxIndexTuplesPerPage + 1];
- bool deletable[MaxIndexTuplesPerPage + 1];
+ OffsetNumber toDead[MaxIndexTuplesPerPageLimit];
+ OffsetNumber toPlaceholder[MaxIndexTuplesPerPageLimit];
+ OffsetNumber moveSrc[MaxIndexTuplesPerPageLimit];
+ OffsetNumber moveDest[MaxIndexTuplesPerPageLimit];
+ OffsetNumber chainSrc[MaxIndexTuplesPerPageLimit];
+ OffsetNumber chainDest[MaxIndexTuplesPerPageLimit];
+ OffsetNumber predecessor[MaxIndexTuplesPerPageLimit + 1];
+ bool deletable[MaxIndexTuplesPerPageLimit + 1];
int nDeletable;
OffsetNumber i,
max = PageGetMaxOffsetNumber(page);
@@ -408,7 +408,7 @@ vacuumLeafRoot(spgBulkDeleteState *bds, Relation index, Buffer buffer)
{
Page page = BufferGetPage(buffer);
spgxlogVacuumRoot xlrec;
- OffsetNumber toDelete[MaxIndexTuplesPerPage];
+ OffsetNumber toDelete[MaxIndexTuplesPerPageLimit];
OffsetNumber i,
max = PageGetMaxOffsetNumber(page);
@@ -498,8 +498,8 @@ vacuumRedirectAndPlaceholder(Relation index, Buffer buffer)
firstPlaceholder = InvalidOffsetNumber;
bool hasNonPlaceholder = false;
bool hasUpdate = false;
- OffsetNumber itemToPlaceholder[MaxIndexTuplesPerPage];
- OffsetNumber itemnos[MaxIndexTuplesPerPage];
+ OffsetNumber itemToPlaceholder[MaxIndexTuplesPerPageLimit];
+ OffsetNumber itemnos[MaxIndexTuplesPerPageLimit];
spgxlogVacuumRedirect xlrec;
GlobalVisState *vistest;
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index 218aad275b..3a3e5f9282 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -4685,7 +4685,7 @@ WriteControlFile(void)
ControlFile->nameDataLen = NAMEDATALEN;
ControlFile->indexMaxKeys = INDEX_MAX_KEYS;
- ControlFile->toast_max_chunk_size = TOAST_MAX_CHUNK_SIZE;
+ ControlFile->toast_max_chunk_size = TOAST_MAX_CHUNK_SIZE(tde_nonce_size);
ControlFile->loblksize = LOBLKSIZE;
ControlFile->float8ByVal = FLOAT8PASSBYVAL;
@@ -4879,12 +4879,12 @@ ReadControlFile(void)
" but the server was compiled with INDEX_MAX_KEYS %d.",
ControlFile->indexMaxKeys, INDEX_MAX_KEYS),
errhint("It looks like you need to recompile or initdb.")));
- if (ControlFile->toast_max_chunk_size != TOAST_MAX_CHUNK_SIZE)
+ if (ControlFile->toast_max_chunk_size != TOAST_MAX_CHUNK_SIZE(tde_nonce_size))
ereport(FATAL,
(errmsg("database files are incompatible with server"),
errdetail("The database cluster was initialized with TOAST_MAX_CHUNK_SIZE %d,"
" but the server was compiled with TOAST_MAX_CHUNK_SIZE %d.",
- ControlFile->toast_max_chunk_size, (int) TOAST_MAX_CHUNK_SIZE),
+ ControlFile->toast_max_chunk_size, (int) TOAST_MAX_CHUNK_SIZE(tde_nonce_size)),
errhint("It looks like you need to recompile or initdb.")));
if (ControlFile->loblksize != LOBLKSIZE)
ereport(FATAL,
diff --git a/src/backend/nodes/tidbitmap.c b/src/backend/nodes/tidbitmap.c
index c5feacbff4..5086c149ac 100644
--- a/src/backend/nodes/tidbitmap.c
+++ b/src/backend/nodes/tidbitmap.c
@@ -53,7 +53,8 @@
* the per-page bitmaps variable size. We just legislate that the size
* is this:
*/
-#define MAX_TUPLES_PER_PAGE MaxHeapTuplesPerPage
+#define MAX_TUPLES_PER_PAGE_LIMIT MaxHeapTuplesPerPageLimit
+#define MAX_TUPLES_PER_PAGE(tdeNonceSize) MaxHeapTuplesPerPage(tdeNonceSize)
/*
* When we have to switch over to lossy storage, we use a data structure
@@ -78,7 +79,9 @@
#define BITNUM(x) ((x) % BITS_PER_BITMAPWORD)
/* number of active words for an exact page: */
-#define WORDS_PER_PAGE ((MAX_TUPLES_PER_PAGE - 1) / BITS_PER_BITMAPWORD + 1)
+#define WORDS_PER_PAGE_LIMIT ((MAX_TUPLES_PER_PAGE_LIMIT - 1) / BITS_PER_BITMAPWORD + 1)
+#define WORDS_PER_PAGE(tdeNonceSize) ((MAX_TUPLES_PER_PAGE(tdeNonceSize) - 1) / BITS_PER_BITMAPWORD + 1)
+
/* number of active words for a lossy chunk: */
#define WORDS_PER_CHUNK ((PAGES_PER_CHUNK - 1) / BITS_PER_BITMAPWORD + 1)
@@ -102,7 +105,7 @@ typedef struct PagetableEntry
char status; /* hash entry status */
bool ischunk; /* T = lossy storage, F = exact */
bool recheck; /* should the tuples be rechecked? */
- bitmapword words[Max(WORDS_PER_PAGE, WORDS_PER_CHUNK)];
+ bitmapword words[Max(WORDS_PER_PAGE_LIMIT, WORDS_PER_CHUNK)];
} PagetableEntry;
/*
@@ -389,7 +392,7 @@ tbm_add_tuples(TIDBitmap *tbm, const ItemPointer tids, int ntids,
bitnum;
/* safety check to ensure we don't overrun bit array bounds */
- if (off < 1 || off > MAX_TUPLES_PER_PAGE)
+ if (off < 1 || off > MAX_TUPLES_PER_PAGE(tde_nonce_size))
elog(ERROR, "tuple offset out of range: %u", off);
/*
@@ -520,7 +523,7 @@ tbm_union_page(TIDBitmap *a, const PagetableEntry *bpage)
else
{
/* Both pages are exact, merge at the bit level */
- for (wordnum = 0; wordnum < WORDS_PER_PAGE; wordnum++)
+ for (wordnum = 0; wordnum < WORDS_PER_PAGE(tde_nonce_size); wordnum++)
apage->words[wordnum] |= bpage->words[wordnum];
apage->recheck |= bpage->recheck;
}
@@ -649,7 +652,7 @@ tbm_intersect_page(TIDBitmap *a, PagetableEntry *apage, const TIDBitmap *b)
{
/* Both pages are exact, merge at the bit level */
Assert(!bpage->ischunk);
- for (wordnum = 0; wordnum < WORDS_PER_PAGE; wordnum++)
+ for (wordnum = 0; wordnum < WORDS_PER_PAGE(tde_nonce_size); wordnum++)
{
apage->words[wordnum] &= bpage->words[wordnum];
if (apage->words[wordnum] != 0)
@@ -696,7 +699,8 @@ tbm_begin_iterate(TIDBitmap *tbm)
* needs of the TBMIterateResult sub-struct.
*/
iterator = (TBMIterator *) palloc(sizeof(TBMIterator) +
- MAX_TUPLES_PER_PAGE * sizeof(OffsetNumber));
+ MAX_TUPLES_PER_PAGE(tde_nonce_size) *
+ sizeof(OffsetNumber));
iterator->tbm = tbm;
/*
@@ -912,7 +916,7 @@ tbm_extract_page_tuple(PagetableEntry *page, TBMIterateResult *output)
int wordnum;
int ntuples = 0;
- for (wordnum = 0; wordnum < WORDS_PER_PAGE; wordnum++)
+ for (wordnum = 0; wordnum < WORDS_PER_PAGE(tde_nonce_size); wordnum++)
{
bitmapword w = page->words[wordnum];
@@ -1471,7 +1475,8 @@ tbm_attach_shared_iterate(dsa_area *dsa, dsa_pointer dp)
* serve the needs of the TBMIterateResult sub-struct.
*/
iterator = (TBMSharedIterator *) palloc0(sizeof(TBMSharedIterator) +
- MAX_TUPLES_PER_PAGE * sizeof(OffsetNumber));
+ MAX_TUPLES_PER_PAGE(tde_nonce_size) *
+ sizeof(OffsetNumber));
istate = (TBMSharedIteratorState *) dsa_get_address(dsa, dp);
diff --git a/src/backend/replication/logical/reorderbuffer.c b/src/backend/replication/logical/reorderbuffer.c
index b0ab91cc71..54a8123b30 100644
--- a/src/backend/replication/logical/reorderbuffer.c
+++ b/src/backend/replication/logical/reorderbuffer.c
@@ -4711,7 +4711,7 @@ ReorderBufferToastReplace(ReorderBuffer *rb, ReorderBufferTXN *txn,
* the tuplebuf because attrs[] will point back into the current content.
*/
tmphtup = heap_form_tuple(desc, attrs, isnull);
- Assert(newtup->tuple.t_len <= MaxHeapTupleSize);
+ Assert(newtup->tuple.t_len <= MaxHeapTupleSize(tde_nonce_size));
Assert(ReorderBufferTupleBufData(newtup) == newtup->tuple.t_data);
memcpy(newtup->tuple.t_data, tmphtup->t_data, tmphtup->t_len);
diff --git a/src/backend/storage/freespace/freespace.c b/src/backend/storage/freespace/freespace.c
index 8c12dda238..d3d61baec3 100644
--- a/src/backend/storage/freespace/freespace.c
+++ b/src/backend/storage/freespace/freespace.c
@@ -62,7 +62,7 @@
*/
#define FSM_CATEGORIES 256
#define FSM_CAT_STEP (BLCKSZ / FSM_CATEGORIES)
-#define MaxFSMRequestSize MaxHeapTupleSize
+#define MaxFSMRequestSize(tdeNonceSize) MaxHeapTupleSize(tdeNonceSize)
/*
* Depth of the on-disk tree. We need to be able to address 2^32-1 blocks,
@@ -71,9 +71,9 @@
* this means that 4096 bytes is the smallest BLCKSZ that we can get away
* with a 3-level tree, and 512 is the smallest we support.
*/
-#define FSM_TREE_DEPTH ((SlotsPerFSMPage >= 1626) ? 3 : 4)
+#define FSM_TREE_DEPTH(tdeNonceSize) ((SlotsPerFSMPage(tdeNonceSize) >= 1626) ? 3 : 4)
-#define FSM_ROOT_LEVEL (FSM_TREE_DEPTH - 1)
+#define FSM_ROOT_LEVEL(tdeNonceSize) (FSM_TREE_DEPTH(tdeNonceSize) - 1)
#define FSM_BOTTOM_LEVEL 0
/*
@@ -87,7 +87,7 @@ typedef struct
} FSMAddress;
/* Address of the root page. */
-static const FSMAddress FSM_ROOT_ADDRESS = {FSM_ROOT_LEVEL, 0};
+static FSMAddress FSM_ROOT_ADDRESS = {0, 0};
/* functions to navigate the tree */
static FSMAddress fsm_get_child(FSMAddress parent, uint16 slot);
@@ -336,6 +336,8 @@ FreeSpaceMapVacuum(Relation rel)
{
bool dummy;
+ FSM_ROOT_ADDRESS.level = FSM_ROOT_LEVEL(tde_nonce_size);
+
/* Recursively scan the tree, starting at the root */
(void) fsm_vacuum_page(rel, FSM_ROOT_ADDRESS,
(BlockNumber) 0, InvalidBlockNumber,
@@ -357,7 +359,11 @@ FreeSpaceMapVacuumRange(Relation rel, BlockNumber start, BlockNumber end)
/* Recursively scan the tree, starting at the root */
if (end > start)
+ {
+ FSM_ROOT_ADDRESS.level = FSM_ROOT_LEVEL(tde_nonce_size);
+
(void) fsm_vacuum_page(rel, FSM_ROOT_ADDRESS, start, end, &dummy);
+ }
}
/******** Internal routines ********/
@@ -372,7 +378,7 @@ fsm_space_avail_to_cat(Size avail)
Assert(avail < BLCKSZ);
- if (avail >= MaxFSMRequestSize)
+ if (avail >= MaxFSMRequestSize(tde_nonce_size))
return 255;
cat = avail / FSM_CAT_STEP;
@@ -396,7 +402,7 @@ fsm_space_cat_to_avail(uint8 cat)
{
/* The highest category represents exactly MaxFSMRequestSize bytes. */
if (cat == 255)
- return MaxFSMRequestSize;
+ return MaxFSMRequestSize(tde_nonce_size);
else
return cat * FSM_CAT_STEP;
}
@@ -411,7 +417,7 @@ fsm_space_needed_to_cat(Size needed)
int cat;
/* Can't ask for more space than the highest category represents */
- if (needed > MaxFSMRequestSize)
+ if (needed > MaxFSMRequestSize(tde_nonce_size))
elog(ERROR, "invalid FSM request size %zu", needed);
if (needed == 0)
@@ -441,14 +447,14 @@ fsm_logical_to_physical(FSMAddress addr)
*/
leafno = addr.logpageno;
for (l = 0; l < addr.level; l++)
- leafno *= SlotsPerFSMPage;
+ leafno *= SlotsPerFSMPage(tde_nonce_size);
/* Count upper level nodes required to address the leaf page */
pages = 0;
- for (l = 0; l < FSM_TREE_DEPTH; l++)
+ for (l = 0; l < FSM_TREE_DEPTH(tde_nonce_size); l++)
{
pages += leafno + 1;
- leafno /= SlotsPerFSMPage;
+ leafno /= SlotsPerFSMPage(tde_nonce_size);
}
/*
@@ -470,8 +476,8 @@ fsm_get_location(BlockNumber heapblk, uint16 *slot)
FSMAddress addr;
addr.level = FSM_BOTTOM_LEVEL;
- addr.logpageno = heapblk / SlotsPerFSMPage;
- *slot = heapblk % SlotsPerFSMPage;
+ addr.logpageno = heapblk / SlotsPerFSMPage(tde_nonce_size);
+ *slot = heapblk % SlotsPerFSMPage(tde_nonce_size);
return addr;
}
@@ -483,7 +489,7 @@ static BlockNumber
fsm_get_heap_blk(FSMAddress addr, uint16 slot)
{
Assert(addr.level == FSM_BOTTOM_LEVEL);
- return ((unsigned int) addr.logpageno) * SlotsPerFSMPage + slot;
+ return ((unsigned int) addr.logpageno) * SlotsPerFSMPage(tde_nonce_size) + slot;
}
/*
@@ -495,11 +501,11 @@ fsm_get_parent(FSMAddress child, uint16 *slot)
{
FSMAddress parent;
- Assert(child.level < FSM_ROOT_LEVEL);
+ Assert(child.level < FSM_ROOT_LEVEL(tde_nonce_size));
parent.level = child.level + 1;
- parent.logpageno = child.logpageno / SlotsPerFSMPage;
- *slot = child.logpageno % SlotsPerFSMPage;
+ parent.logpageno = child.logpageno / SlotsPerFSMPage(tde_nonce_size);
+ *slot = child.logpageno % SlotsPerFSMPage(tde_nonce_size);
return parent;
}
@@ -516,7 +522,7 @@ fsm_get_child(FSMAddress parent, uint16 slot)
Assert(parent.level > FSM_BOTTOM_LEVEL);
child.level = parent.level - 1;
- child.logpageno = parent.logpageno * SlotsPerFSMPage + slot;
+ child.logpageno = parent.logpageno * SlotsPerFSMPage(tde_nonce_size) + slot;
return child;
}
@@ -690,7 +696,10 @@ static BlockNumber
fsm_search(Relation rel, uint8 min_cat)
{
int restarts = 0;
- FSMAddress addr = FSM_ROOT_ADDRESS;
+ FSMAddress addr;
+
+ FSM_ROOT_ADDRESS.level = FSM_ROOT_LEVEL(tde_nonce_size);
+ addr = FSM_ROOT_ADDRESS;
for (;;)
{
@@ -726,7 +735,7 @@ fsm_search(Relation rel, uint8 min_cat)
addr = fsm_get_child(addr, slot);
}
- else if (addr.level == FSM_ROOT_LEVEL)
+ else if (addr.level == FSM_ROOT_LEVEL(tde_nonce_size))
{
/*
* At the root, failure means there's no page with enough free
@@ -840,14 +849,14 @@ fsm_vacuum_page(Relation rel, FSMAddress addr,
if (fsm_start.logpageno == addr.logpageno)
start_slot = fsm_start_slot;
else if (fsm_start.logpageno > addr.logpageno)
- start_slot = SlotsPerFSMPage; /* shouldn't get here... */
+ start_slot = SlotsPerFSMPage(tde_nonce_size); /* shouldn't get here... */
else
start_slot = 0;
if (fsm_end.logpageno == addr.logpageno)
end_slot = fsm_end_slot;
else if (fsm_end.logpageno > addr.logpageno)
- end_slot = SlotsPerFSMPage - 1;
+ end_slot = SlotsPerFSMPage(tde_nonce_size) - 1;
else
end_slot = -1; /* shouldn't get here... */
diff --git a/src/backend/storage/freespace/fsmpage.c b/src/backend/storage/freespace/fsmpage.c
index 88ae51e526..c1b5315f3b 100644
--- a/src/backend/storage/freespace/fsmpage.c
+++ b/src/backend/storage/freespace/fsmpage.c
@@ -22,6 +22,7 @@
*/
#include "postgres.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/bufmgr.h"
#include "storage/fsm_internals.h"
@@ -66,7 +67,7 @@ fsm_set_avail(Page page, int slot, uint8 value)
FSMPage fsmpage = (FSMPage) PageGetContents(page);
uint8 oldvalue;
- Assert(slot < LeafNodesPerPage);
+ Assert(slot < LeafNodesPerPage(tde_nonce_size));
oldvalue = fsmpage->fp_nodes[nodeno];
@@ -91,7 +92,7 @@ fsm_set_avail(Page page, int slot, uint8 value)
rchild = lchild + 1;
newvalue = fsmpage->fp_nodes[lchild];
- if (rchild < NodesPerPage)
+ if (rchild < NodesPerPage(tde_nonce_size))
newvalue = Max(newvalue,
fsmpage->fp_nodes[rchild]);
@@ -123,7 +124,7 @@ fsm_get_avail(Page page, int slot)
{
FSMPage fsmpage = (FSMPage) PageGetContents(page);
- Assert(slot < LeafNodesPerPage);
+ Assert(slot < LeafNodesPerPage(tde_nonce_size));
return fsmpage->fp_nodes[NonLeafNodesPerPage + slot];
}
@@ -179,7 +180,7 @@ restart:
* the last slot on the page.)
*/
target = fsmpage->fp_next_slot;
- if (target < 0 || target >= LeafNodesPerPage)
+ if (target < 0 || target >= LeafNodesPerPage(tde_nonce_size))
target = 0;
target += NonLeafNodesPerPage;
@@ -246,14 +247,14 @@ restart:
{
int childnodeno = leftchild(nodeno);
- if (childnodeno < NodesPerPage &&
+ if (childnodeno < NodesPerPage(tde_nonce_size) &&
fsmpage->fp_nodes[childnodeno] >= minvalue)
{
nodeno = childnodeno;
continue;
}
childnodeno++; /* point to right child */
- if (childnodeno < NodesPerPage &&
+ if (childnodeno < NodesPerPage(tde_nonce_size) &&
fsmpage->fp_nodes[childnodeno] >= minvalue)
{
nodeno = childnodeno;
@@ -316,11 +317,11 @@ fsm_truncate_avail(Page page, int nslots)
uint8 *ptr;
bool changed = false;
- Assert(nslots >= 0 && nslots < LeafNodesPerPage);
+ Assert(nslots >= 0 && nslots < LeafNodesPerPage(tde_nonce_size));
/* Clear all truncated leaf nodes */
ptr = &fsmpage->fp_nodes[NonLeafNodesPerPage + nslots];
- for (; ptr < &fsmpage->fp_nodes[NodesPerPage]; ptr++)
+ for (; ptr < &fsmpage->fp_nodes[NodesPerPage(tde_nonce_size)]; ptr++)
{
if (*ptr != 0)
changed = true;
@@ -356,10 +357,10 @@ fsm_rebuild_page(Page page)
uint8 newvalue = 0;
/* The first few nodes we examine might have zero or one child. */
- if (lchild < NodesPerPage)
+ if (lchild < NodesPerPage(tde_nonce_size))
newvalue = fsmpage->fp_nodes[lchild];
- if (rchild < NodesPerPage)
+ if (rchild < NodesPerPage(tde_nonce_size))
newvalue = Max(newvalue,
fsmpage->fp_nodes[rchild]);
diff --git a/src/backend/storage/page/bufpage.c b/src/backend/storage/page/bufpage.c
index 82ca91f597..fe52500a5a 100644
--- a/src/backend/storage/page/bufpage.c
+++ b/src/backend/storage/page/bufpage.c
@@ -43,6 +43,8 @@ PageInit(Page page, Size pageSize, Size specialSize)
{
PageHeader p = (PageHeader) page;
+ specialSize = specialSize + tde_nonce_size;
+
specialSize = MAXALIGN(specialSize);
Assert(pageSize == BLCKSZ);
@@ -295,7 +297,7 @@ PageAddItemExtended(Page page,
}
/* Reject placing items beyond heap boundary, if heap */
- if ((flags & PAI_IS_HEAP) != 0 && offsetNumber > MaxHeapTuplesPerPage)
+ if ((flags & PAI_IS_HEAP) != 0 && offsetNumber > MaxHeapTuplesPerPage(tde_nonce_size))
{
elog(WARNING, "can't put more than MaxHeapTuplesPerPage items in a heap page");
return InvalidOffsetNumber;
@@ -403,11 +405,22 @@ PageGetTempPageCopySpecial(Page page)
{
Size pageSize;
Page temp;
+ int prev_tde_nonce_size;
pageSize = PageGetPageSize(page);
temp = (Page) palloc(pageSize);
+ /*
+ * TDE nonce bytes are copied to temporary page since the source page
+ * special space is passed to PageInit.
+ */
+ prev_tde_nonce_size = tde_nonce_size;
+ tde_nonce_size = 0;
+
PageInit(temp, pageSize, PageGetSpecialSize(page));
+
+ tde_nonce_size = prev_tde_nonce_size;
+
memcpy(PageGetSpecialPointer(temp),
PageGetSpecialPointer(page),
PageGetSpecialSize(page));
@@ -712,7 +725,7 @@ PageRepairFragmentation(Page page)
Offset pd_upper = ((PageHeader) page)->pd_upper;
Offset pd_special = ((PageHeader) page)->pd_special;
Offset last_offset;
- itemIdCompactData itemidbase[MaxHeapTuplesPerPage];
+ itemIdCompactData itemidbase[MaxHeapTuplesPerPageLimit];
itemIdCompact itemidptr;
ItemId lp;
int nline,
@@ -995,7 +1008,7 @@ PageGetHeapFreeSpace(Page page)
* Are there already MaxHeapTuplesPerPage line pointers in the page?
*/
nline = PageGetMaxOffsetNumber(page);
- if (nline >= MaxHeapTuplesPerPage)
+ if (nline >= MaxHeapTuplesPerPage(tde_nonce_size))
{
if (PageHasFreeLinePointers((PageHeader) page))
{
@@ -1158,8 +1171,8 @@ PageIndexMultiDelete(Page page, OffsetNumber *itemnos, int nitems)
Offset pd_upper = phdr->pd_upper;
Offset pd_special = phdr->pd_special;
Offset last_offset;
- itemIdCompactData itemidbase[MaxIndexTuplesPerPage];
- ItemIdData newitemids[MaxIndexTuplesPerPage];
+ itemIdCompactData itemidbase[MaxIndexTuplesPerPageLimit];
+ ItemIdData newitemids[MaxIndexTuplesPerPageLimit];
itemIdCompact itemidptr;
ItemId lp;
int nline,
@@ -1171,7 +1184,7 @@ PageIndexMultiDelete(Page page, OffsetNumber *itemnos, int nitems)
OffsetNumber offnum;
bool presorted = true; /* For now */
- Assert(nitems <= MaxIndexTuplesPerPage);
+ Assert(nitems <= MaxIndexTuplesPerPage(tde_nonce_size));
/*
* If there aren't very many items to delete, then retail
diff --git a/src/backend/utils/adt/selfuncs.c b/src/backend/utils/adt/selfuncs.c
index 37ddda7724..e1c277429d 100644
--- a/src/backend/utils/adt/selfuncs.c
+++ b/src/backend/utils/adt/selfuncs.c
@@ -7739,7 +7739,7 @@ brincostestimate(PlannerInfo *root, IndexPath *path, double loop_count,
BRIN_DEFAULT_PAGES_PER_RANGE), 1.0);
statsData.pagesPerRange = BRIN_DEFAULT_PAGES_PER_RANGE;
- statsData.revmapNumPages = (indexRanges / REVMAP_PAGE_MAXITEMS) + 1;
+ statsData.revmapNumPages = (indexRanges / REVMAP_PAGE_MAXITEMS(tde_nonce_size)) + 1;
}
/*
diff --git a/src/backend/utils/adt/tsgistidx.c b/src/backend/utils/adt/tsgistidx.c
index c09eefdda2..3d5dfbf442 100644
--- a/src/backend/utils/adt/tsgistidx.c
+++ b/src/backend/utils/adt/tsgistidx.c
@@ -32,7 +32,7 @@ typedef struct
} GistTsVectorOptions;
#define SIGLEN_DEFAULT (31 * 4)
-#define SIGLEN_MAX GISTMaxIndexKeySize
+#define SIGLEN_MAX GISTMaxIndexKeySize(tde_nonce_size)
#define GET_SIGLEN() (PG_HAS_OPCLASS_OPTIONS() ? \
((GistTsVectorOptions *) PG_GET_OPCLASS_OPTIONS())->siglen : \
SIGLEN_DEFAULT)
@@ -207,7 +207,7 @@ gtsvector_compress(PG_FUNCTION_ARGS)
}
/* make signature, if array is too long */
- if (VARSIZE(res) > TOAST_INDEX_TARGET)
+ if (VARSIZE(res) > TOAST_INDEX_TARGET(tde_nonce_size))
{
SignTSVector *ressign = gtsvector_alloc(SIGNKEY, siglen, NULL);
diff --git a/src/bin/pg_resetwal/pg_resetwal.c b/src/bin/pg_resetwal/pg_resetwal.c
index 805dafef07..0be0d53e17 100644
--- a/src/bin/pg_resetwal/pg_resetwal.c
+++ b/src/bin/pg_resetwal/pg_resetwal.c
@@ -56,6 +56,7 @@
#include "common/restricted_token.h"
#include "common/string.h"
#include "getopt_long.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "pg_getopt.h"
#include "storage/large_object.h"
@@ -720,9 +721,10 @@ GuessControlValues(void)
ControlFile.xlog_seg_size = DEFAULT_XLOG_SEG_SIZE;
ControlFile.nameDataLen = NAMEDATALEN;
ControlFile.indexMaxKeys = INDEX_MAX_KEYS;
- ControlFile.toast_max_chunk_size = TOAST_MAX_CHUNK_SIZE;
+ ControlFile.toast_max_chunk_size = TOAST_MAX_CHUNK_SIZE(0);
ControlFile.loblksize = LOBLKSIZE;
ControlFile.float8ByVal = FLOAT8PASSBYVAL;
+ ControlFile.tde_nonce_size = 0;
/*
* XXX eventually, should try to grovel through old XLOG to develop more
diff --git a/src/include/access/brin_page.h b/src/include/access/brin_page.h
index 75de538ed8..8a877ddc83 100644
--- a/src/include/access/brin_page.h
+++ b/src/include/access/brin_page.h
@@ -85,12 +85,12 @@ typedef struct RevmapContents
ItemPointerData rm_tids[1];
} RevmapContents;
-#define REVMAP_CONTENT_SIZE \
+#define REVMAP_CONTENT_SIZE(tdeNonceSize) \
(BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - \
offsetof(RevmapContents, rm_tids) - \
- MAXALIGN(sizeof(BrinSpecialSpace)))
+ MAXALIGN(sizeof(BrinSpecialSpace) + tdeNonceSize))
/* max num of items in the array */
-#define REVMAP_PAGE_MAXITEMS \
- (REVMAP_CONTENT_SIZE / sizeof(ItemPointerData))
+#define REVMAP_PAGE_MAXITEMS(tdeNonceSize) \
+ (REVMAP_CONTENT_SIZE(tdeNonceSize) / sizeof(ItemPointerData))
#endif /* BRIN_PAGE_H */
diff --git a/src/include/access/ginblock.h b/src/include/access/ginblock.h
index 37d650ac2a..b0fca2e9ed 100644
--- a/src/include/access/ginblock.h
+++ b/src/include/access/ginblock.h
@@ -11,6 +11,7 @@
#define GINBLOCK_H
#include "access/transam.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/block.h"
#include "storage/bufpage.h"
#include "storage/itemptr.h"
@@ -246,11 +247,11 @@ typedef signed char GinNullCategory;
* currently store the high key explicitly, we just use the rightmost item on
* the page, so it would actually be enough to fit two items.)
*/
-#define GinMaxItemSize \
+#define GinMaxItemSize(tdeNonceSize) \
Min(INDEX_SIZE_MASK, \
MAXALIGN_DOWN(((BLCKSZ - \
MAXALIGN(SizeOfPageHeaderData + 3 * sizeof(ItemIdData)) - \
- MAXALIGN(sizeof(GinPageOpaqueData))) / 3)))
+ MAXALIGN(sizeof(GinPageOpaqueData) + tdeNonceSize)) / 3)))
/*
* Access macros for non-leaf entry tuples
@@ -307,26 +308,27 @@ typedef signed char GinNullCategory;
* pages are new in 9.4, however, so we can trust them; see
* GinDataLeafPageGetPostingListSize.
*/
-#define GinDataPageSetDataSize(page, size) \
+#define GinDataPageSetDataSize(page, size, tdeNonceSize) \
{ \
- Assert(size <= GinDataPageMaxDataSize); \
+ Assert(size <= GinDataPageMaxDataSize(tdeNonceSize)); \
((PageHeader) page)->pd_lower = (size) + MAXALIGN(SizeOfPageHeaderData) + MAXALIGN(sizeof(ItemPointerData)); \
}
-#define GinNonLeafDataPageGetFreeSpace(page) \
- (GinDataPageMaxDataSize - \
+#define GinNonLeafDataPageGetFreeSpace(page, tdeNonceSize) \
+ (GinDataPageMaxDataSize(tdeNonceSize) - \
GinPageGetOpaque(page)->maxoff * sizeof(PostingItem))
-#define GinDataPageMaxDataSize \
+#define GinDataPageMaxDataSize(tdeNonceSize) \
(BLCKSZ - MAXALIGN(SizeOfPageHeaderData) \
- MAXALIGN(sizeof(ItemPointerData)) \
- - MAXALIGN(sizeof(GinPageOpaqueData)))
+ - MAXALIGN(sizeof(GinPageOpaqueData) + tdeNonceSize))
/*
* List pages
*/
-#define GinListPageSize \
- ( BLCKSZ - SizeOfPageHeaderData - MAXALIGN(sizeof(GinPageOpaqueData)) )
+#define GinListPageSize(tdeNonceSize) \
+ ( BLCKSZ - SizeOfPageHeaderData - \
+ MAXALIGN(sizeof(GinPageOpaqueData) + tdeNonceSize) )
/*
* A compressed posting list.
diff --git a/src/include/access/gist.h b/src/include/access/gist.h
index 4b06575d98..30af09234f 100644
--- a/src/include/access/gist.h
+++ b/src/include/access/gist.h
@@ -95,12 +95,13 @@ typedef GISTPageOpaqueData *GISTPageOpaque;
* makes sense at all. For multicolumn indexes, user might be able to tune
* key size using opclass parameters.
*/
-#define GISTMaxIndexTupleSize \
- MAXALIGN_DOWN((BLCKSZ - SizeOfPageHeaderData - sizeof(GISTPageOpaqueData)) / \
+#define GISTMaxIndexTupleSize(tdeNonceSize) \
+ MAXALIGN_DOWN((BLCKSZ - SizeOfPageHeaderData - \
+ sizeof(GISTPageOpaqueData) - tdeNonceSize) / \
4 - sizeof(ItemIdData))
-#define GISTMaxIndexKeySize \
- (GISTMaxIndexTupleSize - MAXALIGN(sizeof(IndexTupleData)))
+#define GISTMaxIndexKeySize(tdeNonceSize) \
+ (GISTMaxIndexTupleSize(tdeNonceSize) - MAXALIGN(sizeof(IndexTupleData)))
/*
* The page ID is for the convenience of pg_filedump and similar utilities,
diff --git a/src/include/access/gist_private.h b/src/include/access/gist_private.h
index 553d364e2d..b85cc8d1ef 100644
--- a/src/include/access/gist_private.h
+++ b/src/include/access/gist_private.h
@@ -18,6 +18,7 @@
#include "access/gist.h"
#include "access/itup.h"
#include "lib/pairingheap.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/bufmgr.h"
#include "storage/buffile.h"
#include "utils/hsearch.h"
@@ -472,8 +473,9 @@ extern void gistadjustmembers(Oid opfamilyoid,
/* gistutil.c */
-#define GiSTPageSize \
- ( BLCKSZ - SizeOfPageHeaderData - MAXALIGN(sizeof(GISTPageOpaqueData)) )
+#define GiSTPageSize(tdeNonceSize) \
+ ( BLCKSZ - SizeOfPageHeaderData - \
+ MAXALIGN(sizeof(GISTPageOpaqueData) + tdeNonceSize) )
#define GIST_MIN_FILLFACTOR 10
#define GIST_DEFAULT_FILLFACTOR 90
diff --git a/src/include/access/hash.h b/src/include/access/hash.h
index 1cce865be2..9dbc9d16c4 100644
--- a/src/include/access/hash.h
+++ b/src/include/access/hash.h
@@ -122,7 +122,7 @@ typedef struct HashScanPosData
int lastItem; /* last valid index in items[] */
int itemIndex; /* current index in items[] */
- HashScanPosItem items[MaxIndexTuplesPerPage]; /* MUST BE LAST */
+ HashScanPosItem items[MaxIndexTuplesPerPageLimit]; /* MUST BE LAST */
} HashScanPosData;
#define HashScanPosIsPinned(scanpos) \
@@ -282,11 +282,11 @@ typedef struct HashOptions
/*
* Maximum size of a hash index item (it's okay to have only one per page)
*/
-#define HashMaxItemSize(page) \
+#define HashMaxItemSize(page, tdeNonceSize) \
MAXALIGN_DOWN(PageGetPageSize(page) - \
SizeOfPageHeaderData - \
sizeof(ItemIdData) - \
- MAXALIGN(sizeof(HashPageOpaqueData)))
+ MAXALIGN(sizeof(HashPageOpaqueData) + tdeNonceSize))
#define INDEX_MOVED_BY_SPLIT_MASK INDEX_AM_RESERVED_BIT
@@ -314,9 +314,10 @@ typedef struct HashOptions
#define HashPageGetBitmap(page) \
((uint32 *) PageGetContents(page))
-#define HashGetMaxBitmapSize(page) \
+#define HashGetMaxBitmapSize(page, tdeNonceSize) \
(PageGetPageSize((Page) page) - \
- (MAXALIGN(SizeOfPageHeaderData) + MAXALIGN(sizeof(HashPageOpaqueData))))
+ (MAXALIGN(SizeOfPageHeaderData) + \
+ MAXALIGN(sizeof(HashPageOpaqueData) + tdeNonceSize)))
#define HashPageGetMeta(page) \
((HashMetaPage) PageGetContents(page))
diff --git a/src/include/access/heapam.h b/src/include/access/heapam.h
index e63b49fc38..835e6df5da 100644
--- a/src/include/access/heapam.h
+++ b/src/include/access/heapam.h
@@ -74,7 +74,7 @@ typedef struct HeapScanDescData
/* these fields only used in page-at-a-time mode and for bitmap scans */
int rs_cindex; /* current tuple's index in vistuples */
int rs_ntuples; /* number of visible tuples on page */
- OffsetNumber rs_vistuples[MaxHeapTuplesPerPage]; /* their offsets */
+ OffsetNumber rs_vistuples[MaxHeapTuplesPerPageLimit]; /* their offsets */
} HeapScanDescData;
typedef struct HeapScanDescData *HeapScanDesc;
diff --git a/src/include/access/heaptoast.h b/src/include/access/heaptoast.h
index 8b29f1a986..186b8da682 100644
--- a/src/include/access/heaptoast.h
+++ b/src/include/access/heaptoast.h
@@ -14,17 +14,24 @@
#define HEAPTOAST_H
#include "access/htup_details.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/lockdefs.h"
#include "utils/relcache.h"
/*
* Find the maximum size of a tuple if there are to be N tuples per page.
*/
-#define MaximumBytesPerTuple(tuplesPerPage) \
+#define MaximumBytesPerTupleLimit(tuplesPerPage) \
MAXALIGN_DOWN((BLCKSZ - \
MAXALIGN(SizeOfPageHeaderData + (tuplesPerPage) * sizeof(ItemIdData))) \
/ (tuplesPerPage))
+#define MaximumBytesPerTuple(tuplesPerPage, tdeNonceSize) \
+ MAXALIGN_DOWN((BLCKSZ - \
+ MAXALIGN(SizeOfPageHeaderData + (tuplesPerPage) * sizeof(ItemIdData)) - \
+ MAXALIGN(tdeNonceSize)) \
+ / (tuplesPerPage))
+
/*
* These symbols control toaster activation. If a tuple is larger than
* TOAST_TUPLE_THRESHOLD, we will try to toast it down to no more than
@@ -45,9 +52,14 @@
*/
#define TOAST_TUPLES_PER_PAGE 4
-#define TOAST_TUPLE_THRESHOLD MaximumBytesPerTuple(TOAST_TUPLES_PER_PAGE)
+#define TOAST_TUPLE_THRESHOLD(tdeNonceSize) MaximumBytesPerTuple(TOAST_TUPLES_PER_PAGE, tdeNonceSize)
+
+#define TOAST_TUPLE_THRESHOLD_MAX_LIMIT MaximumBytesPerTupleLimit(TOAST_TUPLES_PER_PAGE)
+
+#define TOAST_TUPLE_TARGET_MAX_LIMIT TOAST_TUPLE_THRESHOLD_MAX_LIMIT
+
+#define TOAST_TUPLE_TARGET(tdeNonceSize) TOAST_TUPLE_THRESHOLD(tdeNonceSize)
-#define TOAST_TUPLE_TARGET TOAST_TUPLE_THRESHOLD
/*
* The code will also consider moving MAIN data out-of-line, but only as a
@@ -58,14 +70,16 @@
*/
#define TOAST_TUPLES_PER_PAGE_MAIN 1
-#define TOAST_TUPLE_TARGET_MAIN MaximumBytesPerTuple(TOAST_TUPLES_PER_PAGE_MAIN)
+#define TOAST_TUPLE_TARGET_MAIN_MAX_LIMIT MaximumBytesPerTupleLimit(TOAST_TUPLES_PER_PAGE_MAIN)
+
+#define TOAST_TUPLE_TARGET_MAIN(tdeNonceSize) MaximumBytesPerTuple(TOAST_TUPLES_PER_PAGE_MAIN, tdeNonceSize)
/*
* If an index value is larger than TOAST_INDEX_TARGET, we will try to
* compress it (we can't move it out-of-line, however). Note that this
* number is per-datum, not per-tuple, for simplicity in index_form_tuple().
*/
-#define TOAST_INDEX_TARGET (MaxHeapTupleSize / 16)
+#define TOAST_INDEX_TARGET(tdeNonceSize) (MaxHeapTupleSize(tdeNonceSize) / 16)
/*
* When we store an oversize datum externally, we divide it into chunks
@@ -79,10 +93,19 @@
*/
#define EXTERN_TUPLES_PER_PAGE 4 /* tweak only this */
-#define EXTERN_TUPLE_MAX_SIZE MaximumBytesPerTuple(EXTERN_TUPLES_PER_PAGE)
+#define EXTERN_TUPLE_MAX_SIZE(tdeNonceSize) MaximumBytesPerTuple(EXTERN_TUPLES_PER_PAGE, tdeNonceSize)
+
+#define EXTERN_TUPLE_MAX_SIZE_LIMIT MaximumBytesPerTupleLimit(EXTERN_TUPLES_PER_PAGE)
+
+#define TOAST_MAX_CHUNK_SIZE_LIMIT \
+ (EXTERN_TUPLE_MAX_SIZE_LIMIT - \
+ MAXALIGN(SizeofHeapTupleHeader) - \
+ sizeof(Oid) - \
+ sizeof(int32) - \
+ VARHDRSZ)
-#define TOAST_MAX_CHUNK_SIZE \
- (EXTERN_TUPLE_MAX_SIZE - \
+#define TOAST_MAX_CHUNK_SIZE(tdeNonceSize) \
+ (EXTERN_TUPLE_MAX_SIZE(tdeNonceSize) - \
MAXALIGN(SizeofHeapTupleHeader) - \
sizeof(Oid) - \
sizeof(int32) - \
diff --git a/src/include/access/htup_details.h b/src/include/access/htup_details.h
index 960772f76b..5a800fe971 100644
--- a/src/include/access/htup_details.h
+++ b/src/include/access/htup_details.h
@@ -18,6 +18,7 @@
#include "access/transam.h"
#include "access/tupdesc.h"
#include "access/tupmacs.h"
+#include "miscadmin.h" /* for tde_nonce_size */
#include "storage/bufpage.h"
/*
@@ -556,7 +557,10 @@ do { \
* ItemIds and tuples have different alignment requirements, don't assume that
* you can, say, fit 2 tuples of size MaxHeapTupleSize/2 on the same page.
*/
-#define MaxHeapTupleSize (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + sizeof(ItemIdData)))
+#define MaxHeapTupleSizeLimit (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \
+ sizeof(ItemIdData)))
+#define MaxHeapTupleSize(tdeNonceSize) (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \
+ sizeof(ItemIdData)) - MAXALIGN(tdeNonceSize))
#define MinHeapTupleSize MAXALIGN(SizeofHeapTupleHeader)
/*
@@ -570,10 +574,14 @@ do { \
* pointers to this anyway, to avoid excessive line-pointer bloat and not
* require increases in the size of work arrays.
*/
-#define MaxHeapTuplesPerPage \
+#define MaxHeapTuplesPerPageLimit \
((int) ((BLCKSZ - SizeOfPageHeaderData) / \
(MAXALIGN(SizeofHeapTupleHeader) + sizeof(ItemIdData))))
+#define MaxHeapTuplesPerPage(tdeNonceSize) \
+ ((int) ((BLCKSZ - SizeOfPageHeaderData - MAXALIGN(tdeNonceSize)) / \
+ (MAXALIGN(SizeofHeapTupleHeader) + sizeof(ItemIdData))))
+
/*
* MaxAttrSize is a somewhat arbitrary upper limit on the declared size of
* data fields of char(n) and similar types. It need not have anything
diff --git a/src/include/access/itup.h b/src/include/access/itup.h
index 1917375cde..c18544e9a2 100644
--- a/src/include/access/itup.h
+++ b/src/include/access/itup.h
@@ -142,10 +142,13 @@ typedef IndexAttributeBitMapData * IndexAttributeBitMap;
* estimated here, seemingly allowing one more tuple than estimated here.
* But such a page always has at least MAXALIGN special space, so we're safe.
*/
-#define MaxIndexTuplesPerPage \
+#define MaxIndexTuplesPerPageLimit \
((int) ((BLCKSZ - SizeOfPageHeaderData) / \
(MAXALIGN(sizeof(IndexTupleData) + 1) + sizeof(ItemIdData))))
+#define MaxIndexTuplesPerPage(tdeNonceSize) \
+ ((int) ((BLCKSZ - SizeOfPageHeaderData - MAXALIGN(tdeNonceSize)) / \
+ (MAXALIGN(sizeof(IndexTupleData) + 1) + sizeof(ItemIdData))))
/* routines in indextuple.c */
extern IndexTuple index_form_tuple(TupleDesc tupleDescriptor,
diff --git a/src/include/access/nbtree.h b/src/include/access/nbtree.h
index 42c66fac57..e04c000236 100644
--- a/src/include/access/nbtree.h
+++ b/src/include/access/nbtree.h
@@ -159,16 +159,16 @@ typedef struct BTMetaPageData
* a heap index tuple to make space for a tiebreaker heap TID
* attribute, which we account for here.
*/
-#define BTMaxItemSize(page) \
+#define BTMaxItemSize(page, tdeNonceSize) \
MAXALIGN_DOWN((PageGetPageSize(page) - \
MAXALIGN(SizeOfPageHeaderData + \
3*sizeof(ItemIdData) + \
3*sizeof(ItemPointerData)) - \
- MAXALIGN(sizeof(BTPageOpaqueData))) / 3)
-#define BTMaxItemSizeNoHeapTid(page) \
+ MAXALIGN(sizeof(BTPageOpaqueData) + tdeNonceSize)) / 3)
+#define BTMaxItemSizeNoHeapTid(page, tdeNonceSize) \
MAXALIGN_DOWN((PageGetPageSize(page) - \
MAXALIGN(SizeOfPageHeaderData + 3*sizeof(ItemIdData)) - \
- MAXALIGN(sizeof(BTPageOpaqueData))) / 3)
+ MAXALIGN(sizeof(BTPageOpaqueData) + tdeNonceSize)) / 3)
/*
* MaxTIDsPerBTreePage is an upper bound on the number of heap TIDs tuples
@@ -885,7 +885,7 @@ typedef struct BTDedupStateData
* are implicitly unchanged by deduplication pass).
*/
int nintervals; /* current number of intervals in array */
- BTDedupInterval intervals[MaxIndexTuplesPerPage];
+ BTDedupInterval intervals[MaxIndexTuplesPerPageLimit];
} BTDedupStateData;
typedef BTDedupStateData *BTDedupState;
diff --git a/src/include/access/spgist_private.h b/src/include/access/spgist_private.h
index ba3da5b540..481737ac5e 100644
--- a/src/include/access/spgist_private.h
+++ b/src/include/access/spgist_private.h
@@ -226,14 +226,14 @@ typedef struct SpGistScanOpaqueData
TupleDesc reconTupDesc; /* if so, descriptor for reconstructed tuples */
int nPtrs; /* number of TIDs found on current page */
int iPtr; /* index for scanning through same */
- ItemPointerData heapPtrs[MaxIndexTuplesPerPage]; /* TIDs from cur page */
- bool recheck[MaxIndexTuplesPerPage]; /* their recheck flags */
- bool recheckDistances[MaxIndexTuplesPerPage]; /* distance recheck
+ ItemPointerData heapPtrs[MaxIndexTuplesPerPageLimit]; /* TIDs from cur page */
+ bool recheck[MaxIndexTuplesPerPageLimit]; /* their recheck flags */
+ bool recheckDistances[MaxIndexTuplesPerPageLimit]; /* distance recheck
* flags */
- HeapTuple reconTups[MaxIndexTuplesPerPage]; /* reconstructed tuples */
+ HeapTuple reconTups[MaxIndexTuplesPerPageLimit]; /* reconstructed tuples */
/* distances (for recheck) */
- IndexOrderByDistance *distances[MaxIndexTuplesPerPage];
+ IndexOrderByDistance *distances[MaxIndexTuplesPerPageLimit];
/*
* Note: using MaxIndexTuplesPerPage above is a bit hokey since
@@ -444,10 +444,10 @@ typedef SpGistDeadTupleData *SpGistDeadTuple;
*/
/* Page capacity after allowing for fixed header and special space */
-#define SPGIST_PAGE_CAPACITY \
+#define SPGIST_PAGE_CAPACITY(tdeNonceSize) \
MAXALIGN_DOWN(BLCKSZ - \
SizeOfPageHeaderData - \
- MAXALIGN(sizeof(SpGistPageOpaqueData)))
+ MAXALIGN(sizeof(SpGistPageOpaqueData) + tdeNonceSize))
/*
* Compute free space on page, assuming that up to n placeholders can be
diff --git a/src/include/storage/fsm_internals.h b/src/include/storage/fsm_internals.h
index 09749769b3..090619601f 100644
--- a/src/include/storage/fsm_internals.h
+++ b/src/include/storage/fsm_internals.h
@@ -48,17 +48,18 @@ typedef FSMPageData *FSMPage;
* Number of non-leaf and leaf nodes, and nodes in total, on an FSM page.
* These definitions are internal to fsmpage.c.
*/
-#define NodesPerPage (BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - \
+#define NodesPerPage(tdeNonceSize) (BLCKSZ - MAXALIGN(SizeOfPageHeaderData) - \
+ MAXALIGN(tdeNonceSize) - \
offsetof(FSMPageData, fp_nodes))
#define NonLeafNodesPerPage (BLCKSZ / 2 - 1)
-#define LeafNodesPerPage (NodesPerPage - NonLeafNodesPerPage)
+#define LeafNodesPerPage(tdeNonceSize) (NodesPerPage(tdeNonceSize) - NonLeafNodesPerPage)
/*
* Number of FSM "slots" on a FSM page. This is what should be used
* outside fsmpage.c.
*/
-#define SlotsPerFSMPage LeafNodesPerPage
+#define SlotsPerFSMPage(tdeNonceSize) LeafNodesPerPage(tdeNonceSize)
/* Prototypes for functions in fsmpage.c */
extern int fsm_search_avail(Buffer buf, uint8 min_cat, bool advancenext,
diff --git a/src/test/modules/test_ginpostinglist/test_ginpostinglist.c b/src/test/modules/test_ginpostinglist/test_ginpostinglist.c
index 7ce515fcb7..e24ee54de2 100644
--- a/src/test/modules/test_ginpostinglist/test_ginpostinglist.c
+++ b/src/test/modules/test_ginpostinglist/test_ginpostinglist.c
@@ -88,9 +88,9 @@ Datum
test_ginpostinglist(PG_FUNCTION_ARGS)
{
test_itemptr_pair(0, 2, 14);
- test_itemptr_pair(0, MaxHeapTuplesPerPage, 14);
- test_itemptr_pair(MaxBlockNumber, MaxHeapTuplesPerPage, 14);
- test_itemptr_pair(MaxBlockNumber, MaxHeapTuplesPerPage, 16);
+ test_itemptr_pair(0, MaxHeapTuplesPerPage(tde_nonce_size), 14);
+ test_itemptr_pair(MaxBlockNumber, MaxHeapTuplesPerPage(tde_nonce_size), 14);
+ test_itemptr_pair(MaxBlockNumber, MaxHeapTuplesPerPage(tde_nonce_size), 16);
PG_RETURN_VOID();
}
--
2.25.1
Hi,
On 2021-05-25 12:46:45 -0400, Robert Haas wrote:
This approach has a few disadvantages. For example, right now, we only
need to WAL log hints for the first write to each page after a
checkpoint, but in this approach, if the same page is written multiple
times per checkpoint cycle, we'd need to log hints every time. In some
workloads that could be quite expensive, especially if we log an FPI
every time.
Yes. I think it'd likely be prohibitively expensive in some situations.
So I would like to propose an alternative: store the nonce in the
page. Now the next question is where to put it. I think that putting
it into the page header would be far too invasive, so I propose that
we instead store it at the end of the page, as part of the special
space. That makes an awful lot of code not really notice that anything
is different, because it always thought that the usable space on the
page ended where the special space begins, and it doesn't really care
where that is exactly. The code that knows about the special space
might care a little bit, but whatever private data it's storing is
going to be at the beginning of the special space, and the nonce would
be stored - in this proposal - at the end of the special space. So it
turns out that it doesn't really care that much either.
The obvious concerns are issues around binary upgrades for cases that
already use the special space? Are you planning to address that by not
having that path? Or by storing the nonce at the "start" of the special
space (i.e. [normal data][nonce][existing special])?
Is there an argument for generalizing the nonce approach for to replace
fake LSNs for unlogged relations?
Why is using pd_special better than finding space for a flag bit in the
header indicating whether it has a nonce? Using pd_special will burden
all code using special space, and maybe even some that does not (think
empty pages now occasionally having a non-zero pd_special), whereas
implementing it on the page level wouldn't quite have the same concerns.
One thing that happens is that a bunch of values that used to be
constant - like TOAST_INDEX_TARGET and GinDataPageMaxDataSize - become
non-constant. I suggested to Bharath that he handle this by changing
those macros to take the nonce size as an argument, which is what the
patch does, although it missed pushing that idea down all the way in
some obscure case (e.g. SIGLEN_MAX). That has the down side that we
will now have more computation to do at runtime vs. compile-time. I am
unclear whether there would be enough impact to get exercised about,
but I'm hopeful that the answer is "no".As written, the patch makes initdb take a --tde-nonce-size argument,
but that's really just for demonstration purposes. I assume that, if
we decide to go this way, we'd have an initdb option that selects
whether to use encryption, or perhaps the specific encryption
algorithm to be used, and then the nonce size would be computed based
on that, or else set to 0 if encryption is not in use.
I do suspect having only the "no nonce" or "nonce is a compile time
constant" cases would be good performance wise. Stuff like
+#define MaxHeapTupleSizeLimit (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \ + sizeof(ItemIdData))) +#define MaxHeapTupleSize(tdeNonceSize) (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \ + sizeof(ItemIdData)) - MAXALIGN(tdeNonceSize))
won't be free.
Greetings,
Andres Freund
On Tue, May 25, 2021 at 1:37 PM Andres Freund <andres@anarazel.de> wrote:
The obvious concerns are issues around binary upgrades for cases that
already use the special space? Are you planning to address that by not
having that path? Or by storing the nonce at the "start" of the special
space (i.e. [normal data][nonce][existing special])?
Well, there aren't any existing encrypted clusters, so what is the
scenario exactly? Perhaps you are thinking that we'd have a pg_upgrade
option that would take an unencrypted cluster and encrypt all the
pages, without any other page format changes. If so, this design would
preclude that choice, because there might be no free space available.
Is there an argument for generalizing the nonce approach for to replace
fake LSNs for unlogged relations?
I hadn't thought about that. Maybe. But that would require including
the nonce always, rather than only when TDE is selected, or including
it always in some kinds of pages and only conditionally in others,
which seems more complex.
Why is using pd_special better than finding space for a flag bit in the
header indicating whether it has a nonce? Using pd_special will burden
all code using special space, and maybe even some that does not (think
empty pages now occasionally having a non-zero pd_special), whereas
implementing it on the page level wouldn't quite have the same concerns.
Well, I think there's a lot of code that knows where the line pointer
array starts, and all those calculations will have to become more
complex at runtime if we put the nonce anywhere near the start of the
page. I think there are way fewer things that care about the end of
the page. I dislike the idea that every call to PageGetItem() would
need to know the nonce size - there are hundreds of those calls and
making them more expensive seems a lot worse than the stuff this patch
changes.
It's always possible that I'm confused here, either about what you are
proposing or how impactful it would actually be...
I do suspect having only the "no nonce" or "nonce is a compile time
constant" cases would be good performance wise. Stuff like+#define MaxHeapTupleSizeLimit (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \ + sizeof(ItemIdData))) +#define MaxHeapTupleSize(tdeNonceSize) (BLCKSZ - MAXALIGN(SizeOfPageHeaderData + \ + sizeof(ItemIdData)) - MAXALIGN(tdeNonceSize))won't be free.
One question here is whether we're comfortable saying that the nonce
is entirely constant. I wasn't sure about that. It seems possible to
me that different encryption algorithms might want nonces of different
sizes, either now or in the future. I am not a cryptographer, but that
seemed like a bit of a limiting assumption. So Bharath and I decided
to make the POC cater to a fully variable-size nonce rather than
zero-or-some-constant. However, if the consensus is that
zero-or-some-constant is better, fair enough! The patch can certainly
be adjusted to cater to work that way.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, May 25, 2021 at 12:46:45PM -0400, Robert Haas wrote:
On Thu, Mar 18, 2021 at 2:59 PM Bruce Momjian <bruce@momjian.us> wrote:
Ultimately, we need to make sure that LSNs aren't re-used. There's two
sources of LSNs today: those for relations which are being written into
the WAL and those for relations which are not (UNLOGGED relations,
specifically). The 'minimal' WAL level introduces complications withWell, the story is a little more complex than that --- we currently have
four LSN uses:1. real LSNs for WAL-logged relfilenodes
2. real LSNs for GiST indexes for non-WAL-logged relfilenodes of permanenet relations
3. fake LSNs for GiST indexes for relfilenodes of non-permanenet relations
4. zero LSNs for non-GiST non-permanenet relationsThis patch changes it so #4 gets fake LSNs, and slightly adjusts #2 & #3
so the LSNs are always unique.Hi!
This approach has a few disadvantages. For example, right now, we only
need to WAL log hints for the first write to each page after a
checkpoint, but in this approach, if the same page is written multiple
times per checkpoint cycle, we'd need to log hints every time. In some
workloads that could be quite expensive, especially if we log an FPI
every time.
Well, if we create a separate nonce counter, we still need to make sure
it doesn't go backwards during a crash, so we have to WAL log it
somehow, perhaps at a certain interval like 1k and advance the counter
by 1k in case of crash recovery, like we do with the oid counter now, I
think.
The buffer encryption overhead is 2-4%, and WAL encryption is going to
add to that, so I thought hint bit logging overhead would be minimal
in comparison.
Also, I think that all sorts of non-permanent relations currently get
zero LSNs, not just GiST. Every unlogged table and every temporary
table would need to use fake LSNs. Moreover, for unlogged tables, the
buffer manager would need changes, because it is otherwise going to
assume that anything it sees in the pd_lsn field other than a zero is
a real LSN.
Have you looked at the code, specifically EncryptPage():
https://github.com/postgres/postgres/compare/bmomjian:cfe-11-gist..bmomjian:_cfe-12-rel.patch
+ if (!relation_is_permanent && !is_gist_page_or_similar)
+ PageSetLSN(page, LSNForEncryption(relation_is_permanent));It assigns an LSN to unlogged pages. As far as the buffer manager
seeing fake LSNs that already happens for GiST indexes, so I just built
on that --- seemed to work fine.
So I would like to propose an alternative: store the nonce in the
page. Now the next question is where to put it. I think that putting
it into the page header would be far too invasive, so I propose that
we instead store it at the end of the page, as part of the special
space. That makes an awful lot of code not really notice that anything
is different, because it always thought that the usable space on the
page ended where the special space begins, and it doesn't really care
where that is exactly. The code that knows about the special space
might care a little bit, but whatever private data it's storing is
going to be at the beginning of the special space, and the nonce would
be stored - in this proposal - at the end of the special space. So it
turns out that it doesn't really care that much either.
I think the big problem with that is that it adds a new counter, with
new code, and it makes adding encryption offline, like we do for adding
checksums, pretty much impossible since the page might not have space
for a nonce. It also makes the idea of adding encryption as part of a
pg_upgrade non-link mode also impossible, at least for me. ;-)
I have to ask why we should consider adding it to the special space,
since my current version seems fine, and has minimal code impact, and
has some advantages over using the special space. Is it because of the
WAL hint overhead, or for a cleaner API, or something else?
Also, I need help with all the XXX comments I have in my patches before
I can move forward:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption#Patches
I stopped working on this to get beta out the door, but next week it
would be nice to continue on this. However, I want to get this patch
into a state where everyone is happy with it, rather than adding more
code with an unclear future.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 02:25:21PM -0400, Robert Haas wrote:
One question here is whether we're comfortable saying that the nonce
is entirely constant. I wasn't sure about that. It seems possible to
me that different encryption algorithms might want nonces of different
sizes, either now or in the future. I am not a cryptographer, but that
seemed like a bit of a limiting assumption. So Bharath and I decided
to make the POC cater to a fully variable-size nonce rather than
zero-or-some-constant. However, if the consensus is that
zero-or-some-constant is better, fair enough! The patch can certainly
be adjusted to cater to work that way.
A 16-byte nonce is sufficient for AES and I doubt we will need anything
stronger than AES256 anytime soon. Making the nonce variable length
seems it is just adding complexity for little purpose.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 10:37:32AM -0700, Andres Freund wrote:
The obvious concerns are issues around binary upgrades for cases that
already use the special space? Are you planning to address that by not
having that path? Or by storing the nonce at the "start" of the special
space (i.e. [normal data][nonce][existing special])?Is there an argument for generalizing the nonce approach for to replace
fake LSNs for unlogged relations?Why is using pd_special better than finding space for a flag bit in the
header indicating whether it has a nonce? Using pd_special will burden
all code using special space, and maybe even some that does not (think
empty pages now occasionally having a non-zero pd_special), whereas
implementing it on the page level wouldn't quite have the same concerns.
My code can already identify if the LSN is fake or not --- why can't we
build on that? Can someone show that logging WAL hint bits causes
unacceptable overhead beyond the encryption overhead? I don't think we
even know that since we don't know the overhead of encrypting WAL.
One crazy idea would be to not log WAL hints, but rather use an LSN
range that will never be valid for real LSNs, like the high bit being
set. That special range would need to be WAL-logged, but again, perhaps
every 1k, and increment by 1k on a crash.
This discussion has cemented what I had already considered --- that
doing a separate nonce will make this feature less usable/upgradable,
and take it beyond my ability or desire to complete.
Ideally, what I would like to do is to resolve my XXX questions in my
patches, get everyone happy with what we have, then let me do the WAL
encryption. We can then see if logging hint bits is significant
overhead, and if it is, go with a special LSN range for fake LSNs.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 2:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Well, if we create a separate nonce counter, we still need to make sure
it doesn't go backwards during a crash, so we have to WAL log it
I think we don't really need a global counter, do we? We could simply
increment the nonce every time we write the page. If we want to avoid
using the same IV for different pages, then 8 bytes of the nonce could
store a value that's different for every page, and the other 8 bytes
could store a counter. Presumably we won't manage to write the same
page more than 2^64 times, since LSNs are limited to be <2^64, and
those are consumed more than 1 byte at a time for every change to any
page anywhere.
The buffer encryption overhead is 2-4%, and WAL encryption is going to
add to that, so I thought hint bit logging overhead would be minimal
in comparison.
I think it depends. If buffer evictions are rare, then it won't matter
much. But if they are common, then using the LSN as the nonce will add
a lot of overhead.
Have you looked at the code, specifically EncryptPage():
https://github.com/postgres/postgres/compare/bmomjian:cfe-11-gist..bmomjian:_cfe-12-rel.patch
+ if (!relation_is_permanent && !is_gist_page_or_similar) + PageSetLSN(page, LSNForEncryption(relation_is_permanent));It assigns an LSN to unlogged pages. As far as the buffer manager
seeing fake LSNs that already happens for GiST indexes, so I just built
on that --- seemed to work fine.
I had not, but I don't see why this issue is specific to GiST rather
than common to every kind of unlogged and temporary relation.
I have to ask why we should consider adding it to the special space,
since my current version seems fine, and has minimal code impact, and
has some advantages over using the special space. Is it because of the
WAL hint overhead, or for a cleaner API, or something else?
My concern is about the overhead, and also the code complexity. I
think that making sure that the LSN gets changed in all cases may be
fairly tricky.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, May 25, 2021 at 03:09:03PM -0400, Robert Haas wrote:
On Tue, May 25, 2021 at 2:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Well, if we create a separate nonce counter, we still need to make sure
it doesn't go backwards during a crash, so we have to WAL log itI think we don't really need a global counter, do we? We could simply
increment the nonce every time we write the page. If we want to avoid
using the same IV for different pages, then 8 bytes of the nonce could
store a value that's different for every page, and the other 8 bytes
could store a counter. Presumably we won't manage to write the same
page more than 2^64 times, since LSNs are limited to be <2^64, and
those are consumed more than 1 byte at a time for every change to any
page anywhere.
The issue we had here is what do you use as a special value for each
relation? Where do you store it if it is not computed? You can use a
global counter for the per-page nonce that doesn't change when the page
is updated, but that would still need to be a global counter.
Also, when you change hint bits, either you don't change the nonce/LSN,
and don't recrypt the page (and the hint bit changes are visible), or
you change the nonce and reencrypt the page, and you are then WAL
logging the page. I don't see how having a nonce different from the LSN
helps here.
The buffer encryption overhead is 2-4%, and WAL encryption is going to
add to that, so I thought hint bit logging overhead would be minimal
in comparison.I think it depends. If buffer evictions are rare, then it won't matter
much. But if they are common, then using the LSN as the nonce will add
a lot of overhead.
Well, see above. A separate nonce somewhere else doesn't help much, as
I see it.
Have you looked at the code, specifically EncryptPage():
https://github.com/postgres/postgres/compare/bmomjian:cfe-11-gist..bmomjian:_cfe-12-rel.patch
+ if (!relation_is_permanent && !is_gist_page_or_similar) + PageSetLSN(page, LSNForEncryption(relation_is_permanent));It assigns an LSN to unlogged pages. As far as the buffer manager
seeing fake LSNs that already happens for GiST indexes, so I just built
on that --- seemed to work fine.I had not, but I don't see why this issue is specific to GiST rather
than common to every kind of unlogged and temporary relation.I have to ask why we should consider adding it to the special space,
since my current version seems fine, and has minimal code impact, and
has some advantages over using the special space. Is it because of the
WAL hint overhead, or for a cleaner API, or something else?My concern is about the overhead, and also the code complexity. I
think that making sure that the LSN gets changed in all cases may be
fairly tricky.
Please look over the patch to see if I missed anything --- for me, it
seemed quite clear, and I am not an expert in that area of the code.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 03:20:06PM -0400, Bruce Momjian wrote:
Also, when you change hint bits, either you don't change the nonce/LSN,
and don't re-encrypt the page (and the hint bit changes are visible), or
you change the nonce and reencrypt the page, and you are then WAL
logging the page. I don't see how having a nonce different from the LSN
helps here.
Let me go into more detail here. The general rule is that you never
encrypt _different_ data with the same key/nonce. Now, since a hint bit
change changes the data, it should get a new nonce, and since it is a
newly encrypted page (using a new nonce), it should be WAL logged
because a torn page would make the data unreadable.
Now, if we want to consult some security experts and have them tell us
the hint bit visibility is not a problem, we could get by without using a
new nonce for hint bit changes, and in that case it doesn't matter if we
have a separate LSN or custom nonce --- it doesn't get changed for hint
bit changes.
My point is that we have to full-page-write cases where we change the
nonce --- we get a new LSN/nonce for free if we are using the LSN as the
nonce. What has made this approach much easier is that you basically
tie a change of the nonce to require a change of LSN, since you are WAL
logging it and every nonce change has to be full-page-write WAL logged.
This makes the LSN-as-nonce less fragile to breakage than a custom
nonce, in my opinion, which may explain why my patch is so small.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 03:34:04PM -0400, Bruce Momjian wrote:
Let me go into more detail here. The general rule is that you never
encrypt _different_ data with the same key/nonce. Now, since a hint bit
change changes the data, it should get a new nonce, and since it is a
newly encrypted page (using a new nonce), it should be WAL logged
because a torn page would make the data unreadable.Now, if we want to consult some security experts and have them tell us
the hint bit visibility is not a problem, we could get by without using a
new nonce for hint bit changes, and in that case it doesn't matter if we
have a separate LSN or custom nonce --- it doesn't get changed for hint
bit changes.My point is that we have to full-page-write cases where we change the
nonce --- we get a new LSN/nonce for free if we are using the LSN as the
nonce. What has made this approach much easier is that you basically
tie a change of the nonce to require a change of LSN, since you are WAL
logging it and every nonce change has to be full-page-write WAL logged.
This makes the LSN-as-nonce less fragile to breakage than a custom
nonce, in my opinion, which may explain why my patch is so small.
This issue is covered at the bottom of this patch to the README file:
https://github.com/postgres/postgres/compare/bmomjian:cfe-01-doc..bmomjian:_cfe-02-internaldoc.patch
Hint Bits
- - - - -
For hint bit changes, the LSN normally doesn't change, which is
a problem. By enabling wal_log_hints, you get full page writes
to the WAL after the first hint bit change of the checkpoint.
This is useful for two reasons. First, it generates a new LSN,
which is needed for the IV to be secure. Second, full page images
protect against torn pages, which is an even bigger requirement for
encryption because the new LSN is re-encrypting the entire page,
not just the hint bit changes. You can safely lose the hint bit
changes, but you need to use the same LSN to decrypt the entire
page, so a torn page with an LSN change cannot be decrypted.
To prevent this, wal_log_hints guarantees that the pre-hint-bit
version (and previous LSN version) of the page is restored.
However, if a hint-bit-modified page is written to the file system
during a checkpoint, and there is a later hint bit change switching
the same page from clean to dirty during the same checkpoint, we
need a new LSN, and wal_log_hints doesn't give us a new LSN here.
The fix for this is to update the page LSN by writing a dummy
WAL record via xloginsert.c::LSNForEncryption() in such cases.
Let me know if it needs more detai.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
On Tue, May 25, 2021 at 14:56 Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 02:25:21PM -0400, Robert Haas wrote:
One question here is whether we're comfortable saying that the nonce
is entirely constant. I wasn't sure about that. It seems possible to
me that different encryption algorithms might want nonces of different
sizes, either now or in the future. I am not a cryptographer, but that
seemed like a bit of a limiting assumption. So Bharath and I decided
to make the POC cater to a fully variable-size nonce rather than
zero-or-some-constant. However, if the consensus is that
zero-or-some-constant is better, fair enough! The patch can certainly
be adjusted to cater to work that way.A 16-byte nonce is sufficient for AES and I doubt we will need anything
stronger than AES256 anytime soon. Making the nonce variable length
seems it is just adding complexity for little purpose.
I’d like to review this more and make sure using the special space is
possible but if it is then it opens up a huge new possibility that we could
use it for both the nonce AND an appropriately sized tag, giving us
integrity along with encryption which would be a very significant
additional feature. I’d considered using a fork instead but having it on
the page would be far better.
I’ll also note that we could consider possibly even find an alternative use
for the space used for checksums, or leave them as they are today, though
they’d be redundant at that point to the tag.
Lastly, if the special space is actually able to be variable in size and we
could, say, store a flag in pg_class which tells us what’s in the special
space, then we could possibly give users the option of including the tag on
each page, or the choice of the size of tag, or possibly for other
interesting things in the future outside of encryption and data integrity.
Overall, I’m quite interested in the idea of making the special space able
to be variable. I do accept that will make it so it’s not possible to do
things like have physical replication between an unencrypted cluster and an
encrypted one, but the advantages seem worthwhile and users would still be
able to leverage logical replication to perform such a migration with
relatively little downtime.
Thanks!
Stephen
Show quoted text
Greetings,
On Tue, May 25, 2021 at 15:09 Robert Haas <robertmhaas@gmail.com> wrote:
On Tue, May 25, 2021 at 2:45 PM Bruce Momjian <bruce@momjian.us> wrote:
Well, if we create a separate nonce counter, we still need to make sure
it doesn't go backwards during a crash, so we have to WAL log itI think we don't really need a global counter, do we? We could simply
increment the nonce every time we write the page. If we want to avoid
using the same IV for different pages, then 8 bytes of the nonce could
store a value that's different for every page, and the other 8 bytes
could store a counter. Presumably we won't manage to write the same
page more than 2^64 times, since LSNs are limited to be <2^64, and
those are consumed more than 1 byte at a time for every change to any
page anywhere.
The nonce does need to be absolutely unique for a given encryption key and
therefore needs to be global in some form.
Thanks!
Stephen
Hi,
On 2021-05-25 15:34:04 -0400, Bruce Momjian wrote:
My point is that we have to full-page-write cases where we change the
nonce --- we get a new LSN/nonce for free if we are using the LSN as the
nonce. What has made this approach much easier is that you basically
tie a change of the nonce to require a change of LSN, since you are WAL
logging it and every nonce change has to be full-page-write WAL logged.
This makes the LSN-as-nonce less fragile to breakage than a custom
nonce, in my opinion, which may explain why my patch is so small.
This disregards that we need to be able to increment nonces on standbys
/ during crash recovery.
It may look like that's not needed, with an (wrong!) argument like: The
only writes come from crash recovery, which always are associated with a
WAL record, guaranteeing nonce increases. Hint bits are not an issue
because they don't mark the buffer dirty.
But unfortunately that analysis is wrong. Consider the following
sequence:
1) replay record LSN X affecting page Y (FPI replay)
2) write out Y, encrypt Y using X as nonce
3) crash
4) replay record LSN X affecting page Y (FPI replay)
5) hint bit update to Y, resulting in Y'
6) write out Y', encrypt Y' using X as nonce
While 5) did not mark the page as dirty, it still modified the page
contents. Which means that we'd encrypt different content with the same
nonce - which is not allowed.
I'm pretty sure that there's several other ways to end up with page
contents that differ, despite the LSN not changing.
Greetings,
Andres Freund
On Tue, May 25, 2021 at 01:54:21PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 15:34:04 -0400, Bruce Momjian wrote:
My point is that we have to full-page-write cases where we change the
nonce --- we get a new LSN/nonce for free if we are using the LSN as the
nonce. What has made this approach much easier is that you basically
tie a change of the nonce to require a change of LSN, since you are WAL
logging it and every nonce change has to be full-page-write WAL logged.
This makes the LSN-as-nonce less fragile to breakage than a custom
nonce, in my opinion, which may explain why my patch is so small.This disregards that we need to be able to increment nonces on standbys
/ during crash recovery.It may look like that's not needed, with an (wrong!) argument like: The
only writes come from crash recovery, which always are associated with a
WAL record, guaranteeing nonce increases. Hint bits are not an issue
because they don't mark the buffer dirty.But unfortunately that analysis is wrong. Consider the following
sequence:1) replay record LSN X affecting page Y (FPI replay)
2) write out Y, encrypt Y using X as nonce
3) crash
4) replay record LSN X affecting page Y (FPI replay)
5) hint bit update to Y, resulting in Y'
6) write out Y', encrypt Y' using X as nonceWhile 5) did not mark the page as dirty, it still modified the page
contents. Which means that we'd encrypt different content with the same
nonce - which is not allowed.I'm pretty sure that there's several other ways to end up with page
contents that differ, despite the LSN not changing.
Yes, I can see that happening. I think occasional leakage of hint bit
changes to be acceptable. We might decide they are all acceptable.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 03:20:06PM -0400, Bruce Momjian wrote:
Also, when you change hint bits, either you don't change the nonce/LSN,
and don't re-encrypt the page (and the hint bit changes are visible), or
you change the nonce and reencrypt the page, and you are then WAL
logging the page. I don't see how having a nonce different from the LSN
helps here.Let me go into more detail here. The general rule is that you never
encrypt _different_ data with the same key/nonce. Now, since a hint bit
change changes the data, it should get a new nonce, and since it is a
newly encrypted page (using a new nonce), it should be WAL logged
because a torn page would make the data unreadable.
Right.
Now, if we want to consult some security experts and have them tell us
the hint bit visibility is not a problem, we could get by without using a
new nonce for hint bit changes, and in that case it doesn't matter if we
have a separate LSN or custom nonce --- it doesn't get changed for hint
bit changes.
I do think it's reasonable to consider having hint bits not included in
the encrypted part of the page and therefore remove the need to produce
a new nonce for each hint bit change. Naturally, there's always an
increased risk when any data in the system isn't encrypted but given
the other parts of the system which aren't being encrypted as part of
this effort it hardly seems like a significant increase of overall risk.
I don't believe that any of the auditors and security teams I've
discussed TDE with would have issue with hint bits not being encrypted-
the principle concern has always been the primary data.
Naturally, the more we are able to encrypt and the more we can do to
provide data integrity validation, may open up the possibility for PG to
be used in even more places, which argues for having some way of making
these choices be options which a user could decide at initdb time, or at
least contemplating a road map to where we could offer users the option
to have other parts of the system be encrypted and ideally have data
integrity checks, but I don't think we necessarily have to solve
everything right now in that regard- just having TDE in some form will
open up quite a few new possibilities for v15, even if it doesn't
include data integrity validation beyond our existing checksums and
doesn't encrypt hint bits.
Thanks,
Stephen
On Tue, May 25, 2021 at 04:29:08PM -0400, Stephen Frost wrote:
Greetings,
On Tue, May 25, 2021 at 14:56 Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 02:25:21PM -0400, Robert Haas wrote:
One question here is whether we're comfortable saying that the nonce
is entirely constant. I wasn't sure about that. It seems possible to
me that different encryption algorithms might want nonces of different
sizes, either now or in the future. I am not a cryptographer, but that
seemed like a bit of a limiting assumption. So Bharath and I decided
to make the POC cater to a fully variable-size nonce rather than
zero-or-some-constant. However, if the consensus is that
zero-or-some-constant is better, fair enough! The patch can certainly
be adjusted to cater to work that way.A 16-byte nonce is sufficient for AES and I doubt we will need anything
stronger than AES256 anytime soon. Making the nonce variable length
seems it is just adding complexity for little purpose.I’d like to review this more and make sure using the special space is possible
but if it is then it opens up a huge new possibility that we could use it for
both the nonce AND an appropriately sized tag, giving us integrity along with
encryption which would be a very significant additional feature. I’d
considered using a fork instead but having it on the page would be far better.
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 05:04:50PM -0400, Stephen Frost wrote:
Now, if we want to consult some security experts and have them tell us
the hint bit visibility is not a problem, we could get by without using a
new nonce for hint bit changes, and in that case it doesn't matter if we
have a separate LSN or custom nonce --- it doesn't get changed for hint
bit changes.I do think it's reasonable to consider having hint bits not included in
the encrypted part of the page and therefore remove the need to produce
a new nonce for each hint bit change. Naturally, there's always an
increased risk when any data in the system isn't encrypted but given
the other parts of the system which aren't being encrypted as part of
this effort it hardly seems like a significant increase of overall risk.
I don't believe that any of the auditors and security teams I've
discussed TDE with would have issue with hint bits not being encrypted-
the principle concern has always been the primary data.
OK, this is good to know. I know the never-reuse rule, so it is good to
know it can be relaxed for certain data without causing problems in
other places. Should I modify my patch to do this?
FYI, technically, the hint bit is still encrypted, but could _flip_ in
the encrypted file if changed, so that's why we say it is visible. If
we used a block cipher instead of a streaming one (CTR), this might not
work because the earlier blocks can be based in the output of later
blocks.
Naturally, the more we are able to encrypt and the more we can do to
provide data integrity validation, may open up the possibility for PG to
be used in even more places, which argues for having some way of making
these choices be options which a user could decide at initdb time, or at
least contemplating a road map to where we could offer users the option
to have other parts of the system be encrypted and ideally have data
integrity checks, but I don't think we necessarily have to solve
everything right now in that regard- just having TDE in some form will
open up quite a few new possibilities for v15, even if it doesn't
include data integrity validation beyond our existing checksums and
doesn't encrypt hint bits.
I am thinking full-file system encryption should still be used by people
needing that. I am concerned that if we add too many
restrictions/additions on this feature, it will not be very useful.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 01:54:21PM -0700, Andres Freund wrote:
On 2021-05-25 15:34:04 -0400, Bruce Momjian wrote:
My point is that we have to full-page-write cases where we change the
nonce --- we get a new LSN/nonce for free if we are using the LSN as the
nonce. What has made this approach much easier is that you basically
tie a change of the nonce to require a change of LSN, since you are WAL
logging it and every nonce change has to be full-page-write WAL logged.
This makes the LSN-as-nonce less fragile to breakage than a custom
nonce, in my opinion, which may explain why my patch is so small.This disregards that we need to be able to increment nonces on standbys
/ during crash recovery.It may look like that's not needed, with an (wrong!) argument like: The
only writes come from crash recovery, which always are associated with a
WAL record, guaranteeing nonce increases. Hint bits are not an issue
because they don't mark the buffer dirty.But unfortunately that analysis is wrong. Consider the following
sequence:1) replay record LSN X affecting page Y (FPI replay)
2) write out Y, encrypt Y using X as nonce
3) crash
4) replay record LSN X affecting page Y (FPI replay)
5) hint bit update to Y, resulting in Y'
6) write out Y', encrypt Y' using X as nonceWhile 5) did not mark the page as dirty, it still modified the page
contents. Which means that we'd encrypt different content with the same
nonce - which is not allowed.I'm pretty sure that there's several other ways to end up with page
contents that differ, despite the LSN not changing.Yes, I can see that happening. I think occasional leakage of hint bit
changes to be acceptable. We might decide they are all acceptable.
I don't think that I agree with the idea that this would ultimately only
leak the hint bits- I'm fairly sure that this would make it relatively
trivial for an attacker to be able to deduce the contents of the entire
8k page. I don't know that we should be willing to accept that as a
part of regular operation (which we generally view crashes as being). I
had thought there was something in place to address this though. If
not, it does seem like there should be.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 04:29:08PM -0400, Stephen Frost wrote:
On Tue, May 25, 2021 at 14:56 Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 02:25:21PM -0400, Robert Haas wrote:
One question here is whether we're comfortable saying that the nonce
is entirely constant. I wasn't sure about that. It seems possible to
me that different encryption algorithms might want nonces of different
sizes, either now or in the future. I am not a cryptographer, but that
seemed like a bit of a limiting assumption. So Bharath and I decided
to make the POC cater to a fully variable-size nonce rather than
zero-or-some-constant. However, if the consensus is that
zero-or-some-constant is better, fair enough! The patch can certainly
be adjusted to cater to work that way.A 16-byte nonce is sufficient for AES and I doubt we will need anything
stronger than AES256 anytime soon. Making the nonce variable length
seems it is just adding complexity for little purpose.I’d like to review this more and make sure using the special space is possible
but if it is then it opens up a huge new possibility that we could use it for
both the nonce AND an appropriately sized tag, giving us integrity along with
encryption which would be a very significant additional feature. I’d
considered using a fork instead but having it on the page would be far better.We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?
We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.
Thanks,
Stephen
On Tue, May 25, 2021 at 05:14:24PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
Yes, I can see that happening. I think occasional leakage of hint bit
changes to be acceptable. We might decide they are all acceptable.I don't think that I agree with the idea that this would ultimately only
leak the hint bits- I'm fairly sure that this would make it relatively
trivial for an attacker to be able to deduce the contents of the entire
8k page. I don't know that we should be willing to accept that as a
part of regular operation (which we generally view crashes as being). I
had thought there was something in place to address this though. If
not, it does seem like there should be.
Uh, can you please explain more? Would the hint bits leak? In another
email you said hint bit leaking was OK.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 05:15:55PM -0400, Stephen Frost wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.
Well, if we can't really say the data has integrity, what does the
validation bytes accomplish? And if are going to encrypt everything
that would allow integrity, we need to encrypt almost the entire file
system.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:04:50PM -0400, Stephen Frost wrote:
Now, if we want to consult some security experts and have them tell us
the hint bit visibility is not a problem, we could get by without using a
new nonce for hint bit changes, and in that case it doesn't matter if we
have a separate LSN or custom nonce --- it doesn't get changed for hint
bit changes.I do think it's reasonable to consider having hint bits not included in
the encrypted part of the page and therefore remove the need to produce
a new nonce for each hint bit change. Naturally, there's always an
increased risk when any data in the system isn't encrypted but given
the other parts of the system which aren't being encrypted as part of
this effort it hardly seems like a significant increase of overall risk.
I don't believe that any of the auditors and security teams I've
discussed TDE with would have issue with hint bits not being encrypted-
the principle concern has always been the primary data.OK, this is good to know. I know the never-reuse rule, so it is good to
know it can be relaxed for certain data without causing problems in
other places. Should I modify my patch to do this?
Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue. We still absolutely need to continue to implement a
never-reuse rule when it comes to nonces and making sure that we don't
encrypt different sets of data with the same key+nonce, it's just that
if we exclude the hint bits from encryption then we don't need to worry
about making sure to use a different nonce each time the hint bits
change- because they're no longer relevant.
FYI, technically, the hint bit is still encrypted, but could _flip_ in
the encrypted file if changed, so that's why we say it is visible. If
we used a block cipher instead of a streaming one (CTR), this might not
work because the earlier blocks can be based in the output of later
blocks.
No, in what I'm talking about, the hint bits would be entirely excluded
and therefore not encrypted. I don't think we should keep the hint bits
as part of what's encrypted but not increase the nonce, that's dangerous
imv.
Naturally, the more we are able to encrypt and the more we can do to
provide data integrity validation, may open up the possibility for PG to
be used in even more places, which argues for having some way of making
these choices be options which a user could decide at initdb time, or at
least contemplating a road map to where we could offer users the option
to have other parts of the system be encrypted and ideally have data
integrity checks, but I don't think we necessarily have to solve
everything right now in that regard- just having TDE in some form will
open up quite a few new possibilities for v15, even if it doesn't
include data integrity validation beyond our existing checksums and
doesn't encrypt hint bits.I am thinking full-file system encryption should still be used by people
needing that. I am concerned that if we add too many
restrictions/additions on this feature, it will not be very useful.
I disagree in the long term but I'm fine with paring down what we
specifically work to address for v15.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:14:24PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
Yes, I can see that happening. I think occasional leakage of hint bit
changes to be acceptable. We might decide they are all acceptable.I don't think that I agree with the idea that this would ultimately only
leak the hint bits- I'm fairly sure that this would make it relatively
trivial for an attacker to be able to deduce the contents of the entire
8k page. I don't know that we should be willing to accept that as a
part of regular operation (which we generally view crashes as being). I
had thought there was something in place to address this though. If
not, it does seem like there should be.Uh, can you please explain more? Would the hint bits leak? In another
email you said hint bit leaking was OK.
See my recent email, think I clarified it well over there.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:15:55PM -0400, Stephen Frost wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.Well, if we can't really say the data has integrity, what does the
validation bytes accomplish? And if are going to encrypt everything
that would allow integrity, we need to encrypt almost the entire file
system.
I'm not following this logic. The primary data would be guaranteed to
be unchanged and there is absolutely value in that, even if the metadata
is not guaranteed to be unmolested. Security always comes with a lot of
tradeoffs. RLS doesn't prevent certain side-channel attacks but it
still is extremely useful in a great many cases.
Thanks,
Stephen
On Tue, May 25, 2021 at 05:22:43PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
OK, this is good to know. I know the never-reuse rule, so it is good to
know it can be relaxed for certain data without causing problems in
other places. Should I modify my patch to do this?Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue. We still absolutely need to continue to implement a
never-reuse rule when it comes to nonces and making sure that we don't
encrypt different sets of data with the same key+nonce, it's just that
if we exclude the hint bits from encryption then we don't need to worry
about making sure to use a different nonce each time the hint bits
change- because they're no longer relevant.
So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page. I do think skipping encryption of
just the hint bits is more complex, so I want to understand why if is
needed. (This is a question I eventually wanted to discuss, just like
my XXX questions.)
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 05:25:36PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:15:55PM -0400, Stephen Frost wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.Well, if we can't really say the data has integrity, what does the
validation bytes accomplish? And if are going to encrypt everything
that would allow integrity, we need to encrypt almost the entire file
system.I'm not following this logic. The primary data would be guaranteed to
be unchanged and there is absolutely value in that, even if the metadata
is not guaranteed to be unmolested. Security always comes with a lot of
tradeoffs. RLS doesn't prevent certain side-channel attacks but it
still is extremely useful in a great many cases.
Well, changing the clog would change how the integrity-protected data is
interpreted, so I don't see much value in it.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On 2021-05-25 16:34:10 -0400, Stephen Frost wrote:
The nonce does need to be absolutely unique for a given encryption key and
therefore needs to be global in some form.
You can achieve that without a global counter though, by prepending a
per-relation nonce with some local counter.
I'm doubtful it's worth it though - compared to all the other costs, one
shared atomic increment is pretty OK price to pay I think.
Greetings,
Andres Freund
Hi,
On 2021-05-25 17:04:50 -0400, Stephen Frost wrote:
I do think it's reasonable to consider having hint bits not included in
the encrypted part of the page and therefore remove the need to produce
a new nonce for each hint bit change.
Huh. How are you going to track that efficiently? Do you want to mask
them out before writing? As far as I understand you can't just
re-encrypt a page with the same nonce, but different contents, without
leaking information that you can't have leaked, even if the differences
are not of a secret nature.
I don't think hint bits are the only way to end up with needing to
re-write a page with slightly different content, but the same LSN,
during recovery, after a crash.
I think it's just not going to fly to use LSNs as nonces, and that it's
not worth butchering all kinds of aspect of the system to make it appear
to work.
Greetings,
Andres Freund
Hi,
On 2021-05-25 17:22:43 -0400, Stephen Frost wrote:
Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue.
It's a *huge* issue. For one, the computational effort of doing so would
be a problem. But there's a more fundamental issue: We don't even know
the type of the page at the time we write data out! We can't do a lookup
of pg_class in the checkpointer to see whether the page is a heap page
where we need to mask out hint bits.
Greetings,
Andres Freund
Hi,
On 2021-05-25 17:29:03 -0400, Bruce Momjian wrote:
So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page.
A *single* reuse of the nonce in CTR reveals nearly all of the
plaintext. As you say, the data is XORed with the key stream. Reusing
the nonce means that you reuse the key stream. Which in turn allows you
to do:
(data ^ stream) ^ (data' ^ stream)
which can be simplified to
(data ^ data')
thereby leaking all of data except the difference between data and
data'. That's why it's so crucial to ensure that stream *always* differs
between two rounds of encrypting "related" data.
We can't just "hope" that data doesn't change and use CTR.
Greetings,
Andres Freund
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:22:43PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
OK, this is good to know. I know the never-reuse rule, so it is good to
know it can be relaxed for certain data without causing problems in
other places. Should I modify my patch to do this?Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue. We still absolutely need to continue to implement a
never-reuse rule when it comes to nonces and making sure that we don't
encrypt different sets of data with the same key+nonce, it's just that
if we exclude the hint bits from encryption then we don't need to worry
about making sure to use a different nonce each time the hint bits
change- because they're no longer relevant.So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page. I do think skipping encryption of
just the hint bits is more complex, so I want to understand why if is
needed. (This is a question I eventually wanted to discuss, just like
my XXX questions.)
That's how CTR works, yes. The issue that you run into is that once
you've got two pages which have different data but were encrypted with
the same key and nonce then you can use crib-dragging.
A good example of how this works is here:
http://travisdazell.blogspot.com/2012/11/many-time-pad-attack-crib-drag.html
Once you've got the two different pages which had the same key+nonce
used, you can XOR them together and then start cribbing, scanning the
page for legitimate data which doesn't have to be in the part of the
data that was different between the two original pages.
Not sure what you're referring to in the second half ... simply knowing
that some of the data has a given plaintext (such as having a really
good idea that the word 'the' exists in a given message) doesn't provide
you the same level of information as two pages encrypted with the same
key+nonce but having different data. Indeed, AES is generally believed
to be quite effective against even given plaintext attacks:
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:25:36PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:15:55PM -0400, Stephen Frost wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.Well, if we can't really say the data has integrity, what does the
validation bytes accomplish? And if are going to encrypt everything
that would allow integrity, we need to encrypt almost the entire file
system.I'm not following this logic. The primary data would be guaranteed to
be unchanged and there is absolutely value in that, even if the metadata
is not guaranteed to be unmolested. Security always comes with a lot of
tradeoffs. RLS doesn't prevent certain side-channel attacks but it
still is extremely useful in a great many cases.Well, changing the clog would change how the integrity-protected data is
interpreted, so I don't see much value in it.
I hate to have to say it, but no, it's simply not correct to presume
that the ability to maniuplate any data means that it's not valuable to
protect anything. Further, while clog could be manipulated today,
hopefully one day it would become quite difficult to do so. I'm not
asking for that today, or to be in v15, but if we do come down on the
side of making space in the special area for a nonce, then, even if you
don't feel it's useful, I would strongly argue to have an option for
space to also exist for a tag to go.
Even if your claim that it's useless until clog is addressed were
correct, which I dispute, surely if we do one day have such validation
of clog we would also need a tag in the regular user pages, so why not
add the option while it's easy to do and let users decide if it's useful
to them or not?
This does presume that we ultimately agree on the approach which
involves the special area, of course.
Thanks,
Stephen
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-25 16:34:10 -0400, Stephen Frost wrote:
The nonce does need to be absolutely unique for a given encryption key and
therefore needs to be global in some form.You can achieve that without a global counter though, by prepending a
per-relation nonce with some local counter.I'm doubtful it's worth it though - compared to all the other costs, one
shared atomic increment is pretty OK price to pay I think.
Yes, I tend to agree.
Thanks,
Stephen
On 2021-05-25 19:48:54 -0400, Stephen Frost wrote:
That's how CTR works, yes. The issue that you run into is that once
you've got two pages which have different data but were encrypted with
the same key and nonce then you can use crib-dragging.A good example of how this works is here:
http://travisdazell.blogspot.com/2012/11/many-time-pad-attack-crib-drag.html
Once you've got the two different pages which had the same key+nonce
used, you can XOR them together and then start cribbing, scanning the
page for legitimate data which doesn't have to be in the part of the
data that was different between the two original pages.
IOW, purely hint bit changes are the *dream* case for an attacker,
because any difference can just be ignored. All an attacker has to do is
to look at the writes, see if an IV repeats for a block, and the
attacker will get the *entire* page's worth of data. Either minus hint
bits (which are irrelevant), or with a trivial bit of inferrence even
that (because hint bits can only change in one direction).
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-25 17:04:50 -0400, Stephen Frost wrote:
I do think it's reasonable to consider having hint bits not included in
the encrypted part of the page and therefore remove the need to produce
a new nonce for each hint bit change.Huh. How are you going to track that efficiently? Do you want to mask
them out before writing? As far as I understand you can't just
re-encrypt a page with the same nonce, but different contents, without
leaking information that you can't have leaked, even if the differences
are not of a secret nature.
The simple thought I had was masking them out, yes. No, you can't
re-encrypt a different page with the same nonce. (Re-encrypting the
exact same page with the same nonce, however, just yields the same
cryptotext and therefore is fine).
I don't think hint bits are the only way to end up with needing to
re-write a page with slightly different content, but the same LSN,
during recovery, after a crash.
Any other cases would have to be addressed if we were to use LSNs, of
course.
I think it's just not going to fly to use LSNs as nonces, and that it's
not worth butchering all kinds of aspect of the system to make it appear
to work.
I do agree that we'd want to avoid "butchering all kinds of aspects of
the system" if possible. :)
Thanks!
Stephen
On 2021-05-25 17:15:55 -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.
The page format for clog and that for relation data is unrelated.
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-25 17:22:43 -0400, Stephen Frost wrote:
Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue.It's a *huge* issue. For one, the computational effort of doing so would
be a problem. But there's a more fundamental issue: We don't even know
the type of the page at the time we write data out! We can't do a lookup
of pg_class in the checkpointer to see whether the page is a heap page
where we need to mask out hint bits.
Yeah, I hadn't been contemplating the challenge in figuring out if the
changes were hint bit changes or if it was some other page- merely
reflecting on the question of if hint bits, themselves, could possibly
be excluded.
Thanks,
Stephen
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-25 17:15:55 -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
We already discussed that there are too many other ways to break system
integrity that are not encrypted/integrity-checked, e.g., changes to
clog. Do you disagree?We had agreed that this wasn't something that was strictly required in
the first version and I continue to agree with that. On the other hand,
if we decide that we ultimately need to use an independent nonce and
further that we can make room in the special space for it, then it's
trivial to also include the tag and we absolutely should (or make it
optional to do so) in that case.The page format for clog and that for relation data is unrelated.
Indeed they are, but that's not relevant to the thrust of this specific
debate.
Bruce is arguing that because clog is unprotected that it's not useful
to protect relation data, with regard to data integrity validation as
provided by AES-GCM using/storing tags. I dispute this, as relation
data is primary data while clog, for all its value, is still metadata.
Yes, impacting the metadata has an impact on the primary data, but it
doesn't *change* that primary data at its core (and it's also more
likely to be detected than random bit flipping in the relation data
would be, which is possible if you're only encrypting and not providing
any integrity validation).
Thanks,
Stephen
On Tue, May 25, 2021 at 08:03:14PM -0400, Stephen Frost wrote:
Indeed they are, but that's not relevant to the thrust of this specific
debate.Bruce is arguing that because clog is unprotected that it's not useful
to protect relation data, with regard to data integrity validation as
provided by AES-GCM using/storing tags. I dispute this, as relation
data is primary data while clog, for all its value, is still metadata.
Yes, impacting the metadata has an impact on the primary data, but it
doesn't *change* that primary data at its core (and it's also more
likely to be detected than random bit flipping in the relation data
would be, which is possible if you're only encrypting and not providing
any integrity validation).
Even if you can protect clog, this documentation paragraph makes it
clear that if you can modify the cluster, you can weaken security enough
to read and write any data you want:
https://github.com/postgres/postgres/compare/master..bmomjian:_cfe-01-doc.patch
Cluster file encryption does not protect against unauthorized
file system writes. Such writes can allow data decryption if
used to weaken the system's security and the weakened system is
later supplied with the externally-stored cluster encryption key.
This also does not always detect if users with write access remove
or modify database files.
I know of no way to make that safer, so again, I don't see the value in
modification detection. Maybe someday we would find a way, but it seems
so remote as to not warrant consideration.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 04:48:21PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:29:03 -0400, Bruce Momjian wrote:
So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page.A *single* reuse of the nonce in CTR reveals nearly all of the
plaintext. As you say, the data is XORed with the key stream. Reusing
the nonce means that you reuse the key stream. Which in turn allows you
to do:
(data ^ stream) ^ (data' ^ stream)
which can be simplified to
(data ^ data')
thereby leaking all of data except the difference between data and
data'. That's why it's so crucial to ensure that stream *always* differs
between two rounds of encrypting "related" data.We can't just "hope" that data doesn't change and use CTR.
My point was about whether we need to change the nonce, and hence
WAL-log full page images if we change hint bits. If we don't and
reencrypt the page with the same nonce, don't we only expose the hint
bits? I was not suggesting we avoid changing the nonce in non-hint-bit
cases.
I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 07:48:54PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 05:22:43PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
OK, this is good to know. I know the never-reuse rule, so it is good to
know it can be relaxed for certain data without causing problems in
other places. Should I modify my patch to do this?Err, to be clear, I was saying that we could exclude the hint bits
*entirely* from what's being encrypted and I don't think that would be a
huge issue. We still absolutely need to continue to implement a
never-reuse rule when it comes to nonces and making sure that we don't
encrypt different sets of data with the same key+nonce, it's just that
if we exclude the hint bits from encryption then we don't need to worry
about making sure to use a different nonce each time the hint bits
change- because they're no longer relevant.So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page. I do think skipping encryption of
just the hint bits is more complex, so I want to understand why if is
needed. (This is a question I eventually wanted to discuss, just like
my XXX questions.)That's how CTR works, yes. The issue that you run into is that once
you've got two pages which have different data but were encrypted with
the same key and nonce then you can use crib-dragging.A good example of how this works is here:
http://travisdazell.blogspot.com/2012/11/many-time-pad-attack-crib-drag.html
Once you've got the two different pages which had the same key+nonce
used, you can XOR them together and then start cribbing, scanning the
page for legitimate data which doesn't have to be in the part of the
data that was different between the two original pages.Not sure what you're referring to in the second half ... simply knowing
that some of the data has a given plaintext (such as having a really
good idea that the word 'the' exists in a given message) doesn't provide
you the same level of information as two pages encrypted with the same
key+nonce but having different data. Indeed, AES is generally believed
to be quite effective against even given plaintext attacks:
Agreed. I was just reinforcing that, and trying to say that hint bit
change might also be considered known information.
Anyway, if you think the hint bit changes would leak, I an accept that.
It means we need to wal log hit bit changes, no matter if the nonce is
the LSN or a custom one.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 08:03:14PM -0400, Stephen Frost wrote:
Indeed they are, but that's not relevant to the thrust of this specific
debate.Bruce is arguing that because clog is unprotected that it's not useful
to protect relation data, with regard to data integrity validation as
provided by AES-GCM using/storing tags. I dispute this, as relation
data is primary data while clog, for all its value, is still metadata.
Yes, impacting the metadata has an impact on the primary data, but it
doesn't *change* that primary data at its core (and it's also more
likely to be detected than random bit flipping in the relation data
would be, which is possible if you're only encrypting and not providing
any integrity validation).Even if you can protect clog, this documentation paragraph makes it
clear that if you can modify the cluster, you can weaken security enough
to read and write any data you want:https://github.com/postgres/postgres/compare/master..bmomjian:_cfe-01-doc.patch
Cluster file encryption does not protect against unauthorized
file system writes. Such writes can allow data decryption if
used to weaken the system's security and the weakened system is
later supplied with the externally-stored cluster encryption key.
This also does not always detect if users with write access remove
or modify database files.
This is clearly a different consideration than the concern around clog
and speaks to the issues with how we fetch and maintain the key- things
which we can and really should be better about than what is currently
being done, and which I do believe we will improve upon.
I know of no way to make that safer, so again, I don't see the value in
modification detection. Maybe someday we would find a way, but it seems
so remote as to not warrant consideration.
I'm rather baffled by the comment that there's 'no way to make that
safer'. Giving users a way to segregate actual data from configuration
and commands would greatly improve the situation by making it much more
difficult for a user who only has access to the data directory, where
much of the data is encrypted and protected against data maniupulation
using proper tags, to capture the encryption key.
The concerns which are not actually discussed in the paragraph above
relate to how the key is handled- specifically that we run some external
command that the user provides to fetch it, and that command can be
overridden via postgresql.auto.conf that lives in the data directory.
That's not a terribly safe thing to do and we can certainly do better,
and without all that much difficulty if we actually look at doing so.
A very simple approach would be to just require that the command to
fetch the encryption key come from postgresql.conf and then simply
encrypt+protect postgresql.auto.conf. We'd then document that the user
needs to ensure they have appropriate protection of postgresql.conf,
which could and probably should live elsewhere.
I'd like to see us incrementally move in the direction of providing a
way for users, probably advanced ones to start but hopefully eventually
getting to a point that you don't have to be an advanced user, to
implement a reasonably secure solution which provides both
confidentiality and integrity. We do not have to solve all of these
things in the first release, but I don't think we should be talking
today about tossing out the idea that, some day down the road, we could
have a robust system which provides both.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 07:48:54PM -0400, Stephen Frost wrote:
Not sure what you're referring to in the second half ... simply knowing
that some of the data has a given plaintext (such as having a really
good idea that the word 'the' exists in a given message) doesn't provide
you the same level of information as two pages encrypted with the same
key+nonce but having different data. Indeed, AES is generally believed
to be quite effective against even given plaintext attacks:Agreed. I was just reinforcing that, and trying to say that hint bit
change might also be considered known information.Anyway, if you think the hint bit changes would leak, I an accept that.
It means we need to wal log hit bit changes, no matter if the nonce is
the LSN or a custom one.
The nonce needs to be a new one, if we include the hint bits in the set
of data which is encrypted.
However, what I believe folks are getting at here is that we could keep
the LSN the same, but increase the nonce when the hint bits change, but
*not* WAL log either the nonce change or the hint bit change (unless
it's being logged for some other reason, in which case log both), thus
reducing the amount of WAL being produced. What would matter is that
both the hint bit change and the new nonce hit disk at the same time, or
neither do, or we replay back to some state where the nonce and the hint
bits 'match up' so that the page decrypts (and the integrity check
works).
That generally seems pretty reasonable to me and basically makes the
increase in nonce work very much in the same manner that the hint bits
themselves do- sometimes it changes even when the LSN doesn't but, in
such cases, we don't actually WAL it, and that's ok because we don't
actually care about it being updated- what's in the WAL when the page is
replayed is perfectly fine and we'll just update the hint bits again
when and if we decide we need to based on the actual visibility
information at that time.
Now, making sure that we don't end up re-using the same nonce over again
is a concern and we'd want to address that somehow, as suggested
earlier perhaps by simply incrementing it making sure to durably note
whenever we'd crossed some threshold (each 1k or whatever) and then on
crash recovery making sure we bump past that, but that seems entirely
doable.
Thanks,
Stephen
On Tue, May 25, 2021 at 09:42:48PM -0400, Stephen Frost wrote:
The nonce needs to be a new one, if we include the hint bits in the set
of data which is encrypted.However, what I believe folks are getting at here is that we could keep
the LSN the same, but increase the nonce when the hint bits change, but
*not* WAL log either the nonce change or the hint bit change (unless
it's being logged for some other reason, in which case log both), thus
reducing the amount of WAL being produced. What would matter is that
both the hint bit change and the new nonce hit disk at the same time, or
neither do, or we replay back to some state where the nonce and the hint
bits 'match up' so that the page decrypts (and the integrity check
works).
How do we prevent torn pages if we are writing the page with a new
nonce, and no WAL-logged full page image?
That generally seems pretty reasonable to me and basically makes the
increase in nonce work very much in the same manner that the hint bits
themselves do- sometimes it changes even when the LSN doesn't but, in
such cases, we don't actually WAL it, and that's ok because we don't
actually care about it being updated- what's in the WAL when the page is
replayed is perfectly fine and we'll just update the hint bits again
when and if we decide we need to based on the actual visibility
information at that time.
We get away with this because hint-bit only changes only change single
bytes on the page, and we can't tear a page between bytes, but if we
change the nonce, the entire page will have different bytes. What am I
missing here?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On 2021-05-25 21:51:31 -0400, Bruce Momjian wrote:
How do we prevent torn pages if we are writing the page with a new
nonce, and no WAL-logged full page image?
That should only arise if we are guaranteed to replay from a redo point
that is followed by at least one FPI for the page we're about to write?
- Andres
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 09:42:48PM -0400, Stephen Frost wrote:
The nonce needs to be a new one, if we include the hint bits in the set
of data which is encrypted.However, what I believe folks are getting at here is that we could keep
the LSN the same, but increase the nonce when the hint bits change, but
*not* WAL log either the nonce change or the hint bit change (unless
it's being logged for some other reason, in which case log both), thus
reducing the amount of WAL being produced. What would matter is that
both the hint bit change and the new nonce hit disk at the same time, or
neither do, or we replay back to some state where the nonce and the hint
bits 'match up' so that the page decrypts (and the integrity check
works).How do we prevent torn pages if we are writing the page with a new
nonce, and no WAL-logged full page image?
err, we'd still WAL the FPI, same as we do for checksums, that's what I
would expect and would think we'd need. As long as the FPI is in the
WAL since the last checkpoint, later changes to hint bits or the nonce
wouldn't matter- we'll replay the FPI and that'll have the right nonce
for the hint bits that were part of the FPI.
Any subsequent changes to the hint bits wouldn't be WAL'd though and
neither would the changes to the nonce and that all should be fine
because we'll blow away the entire page on crash recovery to push it
back to what it was when we first wrote the page after the last
checkpoint. Naturally, other changes which have to be WAL'd would still
be done but those would be replayed in shared buffers on top of the
prior FPI and the nonce set to some $new value (one which we know
couldn't have been used prior, by incrementing by some value) when we go
to write out that new page.
Thanks,
Stephen
On Tue, May 25, 2021 at 09:58:22PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 09:42:48PM -0400, Stephen Frost wrote:
The nonce needs to be a new one, if we include the hint bits in the set
of data which is encrypted.However, what I believe folks are getting at here is that we could keep
the LSN the same, but increase the nonce when the hint bits change, but
*not* WAL log either the nonce change or the hint bit change (unless
it's being logged for some other reason, in which case log both), thus
reducing the amount of WAL being produced. What would matter is that
both the hint bit change and the new nonce hit disk at the same time, or
neither do, or we replay back to some state where the nonce and the hint
bits 'match up' so that the page decrypts (and the integrity check
works).How do we prevent torn pages if we are writing the page with a new
nonce, and no WAL-logged full page image?err, we'd still WAL the FPI, same as we do for checksums, that's what I
would expect and would think we'd need. As long as the FPI is in the
WAL since the last checkpoint, later changes to hint bits or the nonce
wouldn't matter- we'll replay the FPI and that'll have the right nonce
for the hint bits that were part of the FPI.Any subsequent changes to the hint bits wouldn't be WAL'd though and
neither would the changes to the nonce and that all should be fine
because we'll blow away the entire page on crash recovery to push it
back to what it was when we first wrote the page after the last
checkpoint. Naturally, other changes which have to be WAL'd would still
be done but those would be replayed in shared buffers on top of the
prior FPI and the nonce set to some $new value (one which we know
couldn't have been used prior, by incrementing by some value) when we go
to write out that new page.
OK, I see what you are saying. If we use a nonce that is not the full
page write LSN then we can use it for hint bit changes _after_ the first
full page write during the checkpoint, and we don't need to WAL log that
since it isn't a real LSN and we can throw it away on crash recovery.
This is not possible if we are using the LSN for the full page write LSN
for the hint bit nonce, though we could use a dummy WAL record to
generate an LSN for this, right?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On 2021-05-25 22:11:46 -0400, Bruce Momjian wrote:
This is not possible if we are using the LSN for the full page write LSN
for the hint bit nonce, though we could use a dummy WAL record to
generate an LSN for this, right?
We cannot use a dummy WAL record, see my explanation about the standby /
crash recovery issues.
Greetings,
On Tue, May 25, 2021 at 22:11 Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 09:58:22PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, May 25, 2021 at 09:42:48PM -0400, Stephen Frost wrote:
The nonce needs to be a new one, if we include the hint bits in the
set
of data which is encrypted.
However, what I believe folks are getting at here is that we could
keep
the LSN the same, but increase the nonce when the hint bits change,
but
*not* WAL log either the nonce change or the hint bit change (unless
it's being logged for some other reason, in which case log both),thus
reducing the amount of WAL being produced. What would matter is that
both the hint bit change and the new nonce hit disk at the sametime, or
neither do, or we replay back to some state where the nonce and the
hint
bits 'match up' so that the page decrypts (and the integrity check
works).How do we prevent torn pages if we are writing the page with a new
nonce, and no WAL-logged full page image?err, we'd still WAL the FPI, same as we do for checksums, that's what I
would expect and would think we'd need. As long as the FPI is in the
WAL since the last checkpoint, later changes to hint bits or the nonce
wouldn't matter- we'll replay the FPI and that'll have the right nonce
for the hint bits that were part of the FPI.Any subsequent changes to the hint bits wouldn't be WAL'd though and
neither would the changes to the nonce and that all should be fine
because we'll blow away the entire page on crash recovery to push it
back to what it was when we first wrote the page after the last
checkpoint. Naturally, other changes which have to be WAL'd would still
be done but those would be replayed in shared buffers on top of the
prior FPI and the nonce set to some $new value (one which we know
couldn't have been used prior, by incrementing by some value) when we go
to write out that new page.OK, I see what you are saying. If we use a nonce that is not the full
page write LSN then we can use it for hint bit changes _after_ the first
full page write during the checkpoint, and we don't need to WAL log that
since it isn't a real LSN and we can throw it away on crash recovery.
This is not possible if we are using the LSN for the full page write LSN
for the hint bit nonce, though we could use a dummy WAL record to
generate an LSN for this, right?
Yes, think you’ve got it. To do it using LSNs and ensure that we always
have a unique nonce we’d have to generated dummy WAL, in order to get new
LSNs to make sure the nonce is always unique and that wouldn’t be great.
Andres mentioned other possible cases where the LSN doesn’t change even
though we change the page and, as he’s probably right, we would have to
figure out a solution in those cases too (potentially including cases like
crash recovery or replay on a replica where we can’t really just go around
creating dummy WAL records to get new LSNs..). If the nonce isn’t the LSN
then suddenly those cases are fine and the LSN can stay the same and it
doesn’t matter that the nonce is changed when we write out the page during
crash recovery because it’s not tied to the WAL/LSN stream.
If I’ve got it right, that does mean that the nonces on the replica might
differ from those on the primary though and I’m not completely sure how I
feel about that. We might wish to explicitly document that, due to such
risk, users should use unique and distinct keys on each replica that are
different from the primary and each other (not a bad idea in general
anyway, but would be quite important with this strategy).
Thanks,
Stephen
Show quoted text
On Tue, May 25, 2021 at 10:23:46PM -0400, Stephen Frost wrote:
If I’ve got it right, that does mean that the nonces on the replica might
differ from those on the primary though and I’m not completely sure how I feel
about that. We might wish to explicitly document that, due to such risk, users
should use unique and distinct keys on each replica that are different from the
primary and each other (not a bad idea in general anyway, but would be quite
important with this strategy).
I have to think more about this, but we were planning to allow different
primary and replica relation encryption keys to allow for relation key
rotation. The WAL key has to be the same for both.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, May 25, 2021 at 09:31:02PM -0400, Bruce Momjian wrote:
I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?
Can someone explain the hint bit exploit using the process I describe
here?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 04:48:21PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:29:03 -0400, Bruce Momjian wrote:
So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page.A *single* reuse of the nonce in CTR reveals nearly all of the
plaintext. As you say, the data is XORed with the key stream. Reusing
the nonce means that you reuse the key stream. Which in turn allows you
to do:
(data ^ stream) ^ (data' ^ stream)
which can be simplified to
(data ^ data')
thereby leaking all of data except the difference between data and
data'. That's why it's so crucial to ensure that stream *always* differs
between two rounds of encrypting "related" data.We can't just "hope" that data doesn't change and use CTR.
My point was about whether we need to change the nonce, and hence
WAL-log full page images if we change hint bits. If we don't and
reencrypt the page with the same nonce, don't we only expose the hint
bits? I was not suggesting we avoid changing the nonce in non-hint-bit
cases.I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?
The way I view things is that the CTR mode encrypts each individual bit,
independent from any other bit on the page. For non-hint bits data=data', so
(data ^ data') is always zero, regardless the actual values of the data. So I
agree with you that by reusing the nonce we only expose the hint bits.
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
On Tue, May 25, 2021 at 7:58 PM Stephen Frost <sfrost@snowman.net> wrote:
The simple thought I had was masking them out, yes. No, you can't
re-encrypt a different page with the same nonce. (Re-encrypting the
exact same page with the same nonce, however, just yields the same
cryptotext and therefore is fine).
In the interest of not being viewed as too much of a naysayer, let me
first reiterate that I am generally in favor of TDE going forward and
am not looking to throw up unnecessary obstacles in the way of making
that happen.
That said, I don't see how this particular idea can work. When we want
to write a page out to disk, we need to identify which bits in the
page are hint bits, so that we can avoid including them in what is
encrypted, which seems complicated and expensive. But even worse, when
we then read a page back off of disk, we'd need to decrypt everything
except for the hint bits, but how do we know which bits are hint bits
if the page isn't decrypted yet? We can't annotate an 8kB page that
might be full with enough extra information to say where the
non-encrypted parts are and still have the result be guaranteed to fit
within 8kb.
Also, it's not just hint bits per se, but anything that would cause us
to use MarkBufferDirtyHint(). For a btree index, per _bt_check_unique
and _bt_killitems, that includes the entire line pointer array,
because of how ItemIdMarkDead() is used. Even apart from the problem
of how decryption would know which things we encrypted and which
things we didn't, I really have a hard time believing that it's OK to
exclude the entire line pointer array in every btree page from
encryption from a security perspective. Among other potential
problems, that's leaking all the information an attacker could
possibly want to have about where their known plaintext might occur in
the page.
However, I believe that if we store the nonce in the page explicitly,
as proposed here, rather trying to derive it from the LSN, then we
don't need to worry about this kind of masking, which I think is
better from both a security perspective and a performance perspective.
There is one thing I'm not quite sure about, though. I had previously
imagined that each page would have a nonce and we could just do
nonce++ each time we write the page. But that doesn't quite work if
the standby can do more writes of the same page than the master. One
vague idea I have for fixing this is: let each page's 16-byte nonce
consist of 8 random bytes and an 8-byte counter that will be
incremented on every write. But, the first time a standby writes each
page, force a "key rotation" where the 8-byte random value is replaced
with a new one, different one from what the master is using for that
page. Detecting this is a bit expensive, because it probably means we
need to store the TLI that last wrote each page on every page too, but
maybe it could be made to work; we're talking about a feature that is
expensive by nature. However, I'm a little worried about the
cryptographic properties of this approach. It would often mean that an
attacker who has full filesystem access can get multiple encrypted
images of the same data, each encrypted with a different nonce. I
don't know whether that's a hazard or not, but it feels like the sort
of thing that, if I were a cryptographer, I would be pleased to have.
Another idea might be - instead of doing nonce++ every time we write
the page, do nonce=random(). That's eventually going to repeat a
value, but it's extremely likely to take a *super* long time if there
are enough bits. A potentially rather large problem, though, is that
generating random numbers in large quantities isn't very cheap.
Anybody got a better idea?
I really like your (Stephen's) idea of including something in the
special space that permits integrity checking. One thing that is quite
nice about that is we could do it first, as an independent patch,
before we did TDE. It would be an independently useful feature, and it
would mean that if there are any problems with the code that injects
stuff into the special space, we could try to track those down in a
non-TDE context. That's really good, because in a TDE context, the
pages are going to be garbled and unreadable (we hope, anyway). If we
have a problem that we can reproduce with just an integrity-checking
token shoved into every page, you can look at the page and try to
understand what went wrong. So I really like this direction both from
the point of view of improving integrity checking, and also from the
point of view of being able to debug problems.
Now, one downside of this approach is that if we have the ability to
turn integrity-checking tokens on and off, and separately we can turn
encryption on and off, then we can't simplify down to two cases as
Andres was advocating above; you have to cater to a variety of
possible values of how-much-stuff-we-squeezed-into-the-special space.
At that point you kind of end up with the approach the draft patches
were already taking, which Andres was worried would be expensive.
I am not entirely certain, however, that I understand what the
proposal is here exactly for integrity verification. I Googled
"AES-GCM using/storing tags" but it didn't help me that much, because
I don't really know the subject area. A really simple integrity
verifier for a page would be to store the db OID, ts OID, relfilenode,
and block number in the page, and check them on read, preventing
blocks from moving around without us noticing. But I gather that
perhaps the idea here is to store something like
hash(db_oid||ts_oid||relfilenode||block||block_contents) in each page,
basically a beefed-up checksum that is too wide to fake easily. It's
probably more complicated than that, though: I admit to having limited
knowledge of modern cryptography.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Tue, May 25, 2021 at 7:58 PM Stephen Frost <sfrost@snowman.net> wrote:
The simple thought I had was masking them out, yes. No, you can't
re-encrypt a different page with the same nonce. (Re-encrypting the
exact same page with the same nonce, however, just yields the same
cryptotext and therefore is fine).In the interest of not being viewed as too much of a naysayer, let me
first reiterate that I am generally in favor of TDE going forward and
am not looking to throw up unnecessary obstacles in the way of making
that happen.
Quite glad to hear that. Hopefully we'll all be able to get on the same
page to move TDE forward.
That said, I don't see how this particular idea can work. When we want
to write a page out to disk, we need to identify which bits in the
page are hint bits, so that we can avoid including them in what is
encrypted, which seems complicated and expensive. But even worse, when
we then read a page back off of disk, we'd need to decrypt everything
except for the hint bits, but how do we know which bits are hint bits
if the page isn't decrypted yet? We can't annotate an 8kB page that
might be full with enough extra information to say where the
non-encrypted parts are and still have the result be guaranteed to fit
within 8kb.
Yeah, Andres pointed that out and it's certainly an issue with this
general idea.
Also, it's not just hint bits per se, but anything that would cause us
to use MarkBufferDirtyHint(). For a btree index, per _bt_check_unique
and _bt_killitems, that includes the entire line pointer array,
because of how ItemIdMarkDead() is used. Even apart from the problem
of how decryption would know which things we encrypted and which
things we didn't, I really have a hard time believing that it's OK to
exclude the entire line pointer array in every btree page from
encryption from a security perspective. Among other potential
problems, that's leaking all the information an attacker could
possibly want to have about where their known plaintext might occur in
the page.
Also a good point.
However, I believe that if we store the nonce in the page explicitly,
as proposed here, rather trying to derive it from the LSN, then we
don't need to worry about this kind of masking, which I think is
better from both a security perspective and a performance perspective.
There is one thing I'm not quite sure about, though. I had previously
imagined that each page would have a nonce and we could just do
nonce++ each time we write the page. But that doesn't quite work if
the standby can do more writes of the same page than the master. One
vague idea I have for fixing this is: let each page's 16-byte nonce
consist of 8 random bytes and an 8-byte counter that will be
incremented on every write. But, the first time a standby writes each
page, force a "key rotation" where the 8-byte random value is replaced
with a new one, different one from what the master is using for that
page. Detecting this is a bit expensive, because it probably means we
need to store the TLI that last wrote each page on every page too, but
maybe it could be made to work; we're talking about a feature that is
expensive by nature. However, I'm a little worried about the
cryptographic properties of this approach. It would often mean that an
attacker who has full filesystem access can get multiple encrypted
images of the same data, each encrypted with a different nonce. I
don't know whether that's a hazard or not, but it feels like the sort
of thing that, if I were a cryptographer, I would be pleased to have.
I do agree that, in general, this is a feature that's expensive to begin
with and folks are generally going to be accepting of that. Encrypting
the same data with different nonces will produce different results and
shouldn't be an issue. The nonces really do need to be unique for a
given key though.
Another idea might be - instead of doing nonce++ every time we write
the page, do nonce=random(). That's eventually going to repeat a
value, but it's extremely likely to take a *super* long time if there
are enough bits. A potentially rather large problem, though, is that
generating random numbers in large quantities isn't very cheap.
There's specific discussion about how to choose a nonce in NIST
publications and using a properly random one that's large enough is
one accepted approach, though my recollection was that the preference
was to use an incrementing guaranteed-unique nonce and using a random
one was more of a "if you can't coordinate using an incrementing one
then you can do this". I can try to hunt for the specifics on that
though.
The issue of getting large amounts of cryptographically random numbers
seems very likely to make this not work so well though.
Anybody got a better idea?
If we stipulate (and document) that all replicas need their own keys
then we no longer need to worry about nonce re-use between the primary
and the replica. Not sure that's *better*, per se, but I do think it's
worth consideration. Teaching pg_basebackup how to decrypt and then
re-encrypt with a different key wouldn't be challenging.
I really like your (Stephen's) idea of including something in the
special space that permits integrity checking. One thing that is quite
nice about that is we could do it first, as an independent patch,
before we did TDE. It would be an independently useful feature, and it
would mean that if there are any problems with the code that injects
stuff into the special space, we could try to track those down in a
non-TDE context. That's really good, because in a TDE context, the
pages are going to be garbled and unreadable (we hope, anyway). If we
have a problem that we can reproduce with just an integrity-checking
token shoved into every page, you can look at the page and try to
understand what went wrong. So I really like this direction both from
the point of view of improving integrity checking, and also from the
point of view of being able to debug problems.
I agree with all of this.
Now, one downside of this approach is that if we have the ability to
turn integrity-checking tokens on and off, and separately we can turn
encryption on and off, then we can't simplify down to two cases as
Andres was advocating above; you have to cater to a variety of
possible values of how-much-stuff-we-squeezed-into-the-special space.
At that point you kind of end up with the approach the draft patches
were already taking, which Andres was worried would be expensive.
Yes, if the amount of space available is variable then there's an added
cost for that. While I appreciate the concern about having that be
expensive, for my 2c at least, I like to think that having this sudden
space that's available for use may lead to other really interesting
capabilities beyond the ones we're talking about here, so I'm not really
thrilled with the idea of boiling it down to just two cases.
I am not entirely certain, however, that I understand what the
proposal is here exactly for integrity verification. I Googled
"AES-GCM using/storing tags" but it didn't help me that much, because
I don't really know the subject area. A really simple integrity
verifier for a page would be to store the db OID, ts OID, relfilenode,
and block number in the page, and check them on read, preventing
blocks from moving around without us noticing. But I gather that
perhaps the idea here is to store something like
hash(db_oid||ts_oid||relfilenode||block||block_contents) in each page,
basically a beefed-up checksum that is too wide to fake easily. It's
probably more complicated than that, though: I admit to having limited
knowledge of modern cryptography.
Happy to help on this bit. Probably the simplest way to explain what's
going on here is that you have two functions- encrypt and decrypt. The
encrypt function takes: (key, nonce, plaintext) and returns (ciphertext,
tag). The decrypt function takes: (key, nonce, ciphertext, tag) and
returns: (plaintext) ... OR an error saying "data integrity check
failed".
As an example, here's a test case from NIST for AES GCM *encryption*:
Key = 31bdadd96698c204aa9ce1448ea94ae1fb4a9a0b3c9d773b51bb1822666b8f22
IV = 0d18e06c7c725ac9e362e1ce
PT = 2db5168e932556f8089a0622981d017d
AAD =
CT = fa4362189661d163fcd6a56d8bf0405a
Tag = d636ac1bbedd5cc3ee727dc2ab4a9489
key/IV (aka nonce)/PT are inputs, CT and Tag are outputs.
Then an example for AES GCM *decryption*:
Key = 4c8ebfe1444ec1b2d503c6986659af2c94fafe945f72c1e8486a5acfedb8a0f8
IV = 473360e0ad24889959858995
CT = d2c78110ac7e8f107c0df0570bd7c90c
AAD =
Tag = c26a379b6d98ef2852ead8ce83a833a7
PT = 7789b41cb3ee548814ca0b388c10b343
Key/IV/CT/Tag are inputs, PT is the output
... but, a more interesting one when considering the tag is:
Key = c997768e2d14e3d38259667a6649079de77beb4543589771e5068e6cd7cd0b14
IV = 835090aed9552dbdd45277e2
CT = 9f6607d68e22ccf21928db0986be126e
AAD =
Tag = f32617f67c574fd9f44ef76ff880ab9f
FAIL
Again, Key/IV/CT/Tag are inputs, but there's no PT output and instead
you just get FAIL and that's because the data integrity check failed.
Exactly how the tag is generated is discussed here if you're really
curious:
https://en.wikipedia.org/wiki/Galois/Counter_Mode
but the gist of that is that it's done as part of the encryption. Note
that you can include additional data beyond just what you're encrypting
in the tag. In our case, we would probably include the LSN, which would
mean that the LSN would be confirmed to be correct additional
information that wasn't actually encrypted. The "AAD" above is
"Additional Authenticated Data".
One thing to be absolutely clear about here though is that simply taking
a hash() of the ciphertext and storing that with the data does *not*
provide cryptographic data integrity validation for the page because it
doesn't involve the actual key or IV at all and the hash is done after
the ciphertext is generated- therefore an attacker can change the data
and just change the hash to match and you'd never know.
Now, when it comes to hashing the *plaintext* data and storing that, you
have to be careful ther because you can very easily fall into the trap
of giving away information about the plaintext data that way if an
attacker can reason about what the plaintext might look like. If I know
the block contains just a single english word and all we've done is
sha256'd it then I can just run sha256 on all english words and figure
out what it is, so to protect the data you need to incorporate the key,
nonce, etc, somehow into the hash (that is- something that should be
very hard for the attacker to discover) and suddently you're doing what
AES-GCM *already* does for you, except you're trying to hack it yourself
instead of using the tools available which were written by experts.
The way that I tend to look at this area is that everyone used to try
and do encryption and data integrity independently and the result was a
bunch of different implementations, some good, some bad (and therefore
leaked sensitive information) and the crypto folks basically said "ok,
let's take the *good* implementations and bake that in, because
otherwise people are going to just keep screwing up and using bad
approaches for this."
What this means for your proposal above is that the actual data
validation information will be generated in two different ways depending
on if we're using AES-GCM and doing TDE, or if we're doing just the data
validation piece and not encrypting anything. That's maybe not ideal
but I don't think it's a huge issue either and your proposal will still
address the question of if we end up missing anything when it comes to
how the special area is handled throughout the code.
If it'd help, I'd be happy to jump on a call to discuss further. Also
happy to continue on this thread too, of course.
Thanks,
Stephen
On Wed, May 26, 2021 at 07:14:47AM +0200, Antonin Houska wrote:
Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 04:48:21PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:29:03 -0400, Bruce Momjian wrote:
So, let me ask --- I thought CTR basically took an encrypted stream of
bits and XOR'ed them with the data. If that is true, then why are
changing hint bits a problem? We already can see some of the bit stream
by knowing some bytes of the page.A *single* reuse of the nonce in CTR reveals nearly all of the
plaintext. As you say, the data is XORed with the key stream. Reusing
the nonce means that you reuse the key stream. Which in turn allows you
to do:
(data ^ stream) ^ (data' ^ stream)
which can be simplified to
(data ^ data')
thereby leaking all of data except the difference between data and
data'. That's why it's so crucial to ensure that stream *always* differs
between two rounds of encrypting "related" data.We can't just "hope" that data doesn't change and use CTR.
My point was about whether we need to change the nonce, and hence
WAL-log full page images if we change hint bits. If we don't and
reencrypt the page with the same nonce, don't we only expose the hint
bits? I was not suggesting we avoid changing the nonce in non-hint-bit
cases.I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?The way I view things is that the CTR mode encrypts each individual bit,
independent from any other bit on the page. For non-hint bits data=data', so
(data ^ data') is always zero, regardless the actual values of the data. So I
agree with you that by reusing the nonce we only expose the hint bits.
OK, that's what I thought. We already expose the clog and fsm, so
exposing the hint bits seems acceptable. If everyone agrees, I will
adjust my patch to not WAL log hint bit changes.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Stephen Frost (sfrost@snowman.net) wrote:
* Robert Haas (robertmhaas@gmail.com) wrote:
Another idea might be - instead of doing nonce++ every time we write
the page, do nonce=random(). That's eventually going to repeat a
value, but it's extremely likely to take a *super* long time if there
are enough bits. A potentially rather large problem, though, is that
generating random numbers in large quantities isn't very cheap.There's specific discussion about how to choose a nonce in NIST
publications and using a properly random one that's large enough is
one accepted approach, though my recollection was that the preference
was to use an incrementing guaranteed-unique nonce and using a random
one was more of a "if you can't coordinate using an incrementing one
then you can do this". I can try to hunt for the specifics on that
though.
Disucssion of generating IVs here:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf
section 8.2 specifically.
Note that 8.3 also discusses subsequent limitations which one should
follow when using a random nonce, to reduce the chances of a collision.
Thanks,
Stephen
On Wed, May 26, 2021 at 2:37 PM Stephen Frost <sfrost@snowman.net> wrote:
Anybody got a better idea?
If we stipulate (and document) that all replicas need their own keys
then we no longer need to worry about nonce re-use between the primary
and the replica. Not sure that's *better*, per se, but I do think it's
worth consideration. Teaching pg_basebackup how to decrypt and then
re-encrypt with a different key wouldn't be challenging.
I agree that we could do that and that it's possible worth
considering. However, it would be easy - and tempting - for users to
violate the no-nonce-reuse principle. For example, consider a
hypothetical user who takes a backup on Monday via a filesystem
snapshot - which might be either (a) a snapshot of the cluster while
it is stopped, or (b) a snapshot of the cluster while it's running,
from which crash recovery can be safely performed as long as it's a
true atomic snapshot, or (c) a snapshot taken between pg_start_backup
and pg_stop_backup which will be used just like a backup taken by
pg_basebackup. In any of these cases, there's no opportunity for a
tool we provide to intervene and re-key. Now, we would provide a tool
that re-keys in such situations and tell people to be sure they run it
before using any of those backups, and maybe that's the best we can
do. However, that tool is going to run for a good long time because it
has to rewrite the entire cluster, so someone with a terabyte-scale
database is going to be sorely tempted to skip this "unnecessary" and
time-consuming step. If it were possible to set things up so that good
things happen automatically and without user action, that would be
swell.
Here's another idea: suppose that a nonce is 128 bits, 64 of which are
randomly generated at server startup, and the other 64 of which are a
counter. If you're willing to assume that the 64 bits generated
randomly at server startup are not going to collide in practice,
because the number of server lifetimes per key should be very small
compared to 2^64, then this gets you the benefits of a
randomly-generate nonce without needing to keep on generating new
cryptographically strong random numbers, and pretty much regardless of
what users do with their backups. If you replay an FPI, you can write
out the page exactly as you got it from the master, without
re-encrypting. If you modify and then write a page, you generate a
nonce for it containing your own server lifetime identifier.
Yes, if the amount of space available is variable then there's an added
cost for that. While I appreciate the concern about having that be
expensive, for my 2c at least, I like to think that having this sudden
space that's available for use may lead to other really interesting
capabilities beyond the ones we're talking about here, so I'm not really
thrilled with the idea of boiling it down to just two cases.
Although I'm glad you like some things about this idea, I think the
proposed system will collapse if we press it too hard. We're going to
need to be judicious.
One thing to be absolutely clear about here though is that simply taking
a hash() of the ciphertext and storing that with the data does *not*
provide cryptographic data integrity validation for the page because it
doesn't involve the actual key or IV at all and the hash is done after
the ciphertext is generated- therefore an attacker can change the data
and just change the hash to match and you'd never know.
Ah, right. So you'd actually want something more like
hash(dboid||tsoid||relfilenode||blockno||block_contents||secret).
Maybe not generated exactly that way: perhaps the secret is really the
IV for the hash function rather than part of the hashed data, or
whatever. However you do it exactly, it prevents someone from
verifying - or faking - a signature unless they have the secret.
very hard for the attacker to discover) and suddently you're doing what
AES-GCM *already* does for you, except you're trying to hack it yourself
instead of using the tools available which were written by experts.
I am all in favor of using the expert-written tools provided we can
figure out how to do it in a way we all agree is correct.
What this means for your proposal above is that the actual data
validation information will be generated in two different ways depending
on if we're using AES-GCM and doing TDE, or if we're doing just the data
validation piece and not encrypting anything. That's maybe not ideal
but I don't think it's a huge issue either and your proposal will still
address the question of if we end up missing anything when it comes to
how the special area is handled throughout the code.
Hmm. Is there no expert-written method for this sort of thing without
encryption? One thing that I think would be really helpful is to be
able to take a TDE-ified cluster and run it through decryption, ending
up with a cluster that still has extra special space but which isn't
actually encrypted any more. Ideally it can end up in a state where
integrity validation still works. This might be something people just
Want To Do, and they're willing to sacrifice the space. But it would
also be real nice for testing and debugging. Imagine for example that
the data on page X is physiologically corrupted i.e. decryption
produces something that looks like a page, but there's stuff wrong
with it, like the item pointers point to a page offset greater than
the page size. Well, what you really want to do with this page is run
pg_filedump on it, or hexdump, or od, or pg_hexedit, or whatever your
favorite tool is, so that you can figure out what's going on, but
that's going to be hard if the pages are all encrypted.
I guess nothing in what you are saying really precludes that, but I
agree that if we have to switch up the method for creating the
integrity verifier thing in this situation, that's not great.
If it'd help, I'd be happy to jump on a call to discuss further. Also
happy to continue on this thread too, of course.
I am finding the written discussion to be helpful right now, and it
has the advantage of being easy to refer back to later, so my vote
would be to keep doing this for now and we can always reassess if it
seems to make sense.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
OK, that's what I thought. We already expose the clog and fsm, so
exposing the hint bits seems acceptable. If everyone agrees, I will
adjust my patch to not WAL log hint bit changes.
Robert pointed out that it's not just hint bits where this is happening
though, but it can also happen with btree line pointer arrays. Even if
we were entirely comfortable accepting that the hint bits are leaked
because of this, leaking the btree line pointer array doesn't seem like
it could possibly be acceptable..
I've not run down that code myself, but I don't have any reason to doubt
Robert's assessment.
Thanks,
Stephen
On Wed, May 26, 2021 at 01:56:38PM -0400, Robert Haas wrote:
However, I believe that if we store the nonce in the page explicitly,
as proposed here, rather trying to derive it from the LSN, then we
don't need to worry about this kind of masking, which I think is
better from both a security perspective and a performance perspective.
You are saying that by using a non-LSN nonce, you can write out the page
with a new nonce, but the same LSN, and also discard the page during
crash recovery and use the WAL copy?
I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints. I must be missing
something.
Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Wed, May 26, 2021 at 2:37 PM Stephen Frost <sfrost@snowman.net> wrote:
Anybody got a better idea?
If we stipulate (and document) that all replicas need their own keys
then we no longer need to worry about nonce re-use between the primary
and the replica. Not sure that's *better*, per se, but I do think it's
worth consideration. Teaching pg_basebackup how to decrypt and then
re-encrypt with a different key wouldn't be challenging.I agree that we could do that and that it's possible worth
considering. However, it would be easy - and tempting - for users to
violate the no-nonce-reuse principle. For example, consider a
(guessing you meant no-key-reuse above)
hypothetical user who takes a backup on Monday via a filesystem
snapshot - which might be either (a) a snapshot of the cluster while
it is stopped, or (b) a snapshot of the cluster while it's running,
from which crash recovery can be safely performed as long as it's a
true atomic snapshot, or (c) a snapshot taken between pg_start_backup
and pg_stop_backup which will be used just like a backup taken by
pg_basebackup. In any of these cases, there's no opportunity for a
tool we provide to intervene and re-key. Now, we would provide a tool
that re-keys in such situations and tell people to be sure they run it
before using any of those backups, and maybe that's the best we can
do. However, that tool is going to run for a good long time because it
has to rewrite the entire cluster, so someone with a terabyte-scale
database is going to be sorely tempted to skip this "unnecessary" and
time-consuming step. If it were possible to set things up so that good
things happen automatically and without user action, that would be
swell.
Yes, if someone were to use a snapshot and set up a replica from it
they'd end up with the same key being used and potentially have an issue
with the key+nonce combination being re-used between the primary and
replica with different data leading to a possible data leak.
Here's another idea: suppose that a nonce is 128 bits, 64 of which are
randomly generated at server startup, and the other 64 of which are a
counter. If you're willing to assume that the 64 bits generated
randomly at server startup are not going to collide in practice,
because the number of server lifetimes per key should be very small
compared to 2^64, then this gets you the benefits of a
randomly-generate nonce without needing to keep on generating new
cryptographically strong random numbers, and pretty much regardless of
what users do with their backups. If you replay an FPI, you can write
out the page exactly as you got it from the master, without
re-encrypting. If you modify and then write a page, you generate a
nonce for it containing your own server lifetime identifier.
Yes, this kind of approach is discussed in the NIST publication in
section 8.2.2. We'd have to keep track of what nonce we used for which
page, of course, but that should be alright using the special space as
discussed.
Yes, if the amount of space available is variable then there's an added
cost for that. While I appreciate the concern about having that be
expensive, for my 2c at least, I like to think that having this sudden
space that's available for use may lead to other really interesting
capabilities beyond the ones we're talking about here, so I'm not really
thrilled with the idea of boiling it down to just two cases.Although I'm glad you like some things about this idea, I think the
proposed system will collapse if we press it too hard. We're going to
need to be judicious.
Sure.
One thing to be absolutely clear about here though is that simply taking
a hash() of the ciphertext and storing that with the data does *not*
provide cryptographic data integrity validation for the page because it
doesn't involve the actual key or IV at all and the hash is done after
the ciphertext is generated- therefore an attacker can change the data
and just change the hash to match and you'd never know.Ah, right. So you'd actually want something more like
hash(dboid||tsoid||relfilenode||blockno||block_contents||secret).
Maybe not generated exactly that way: perhaps the secret is really the
IV for the hash function rather than part of the hashed data, or
whatever. However you do it exactly, it prevents someone from
verifying - or faking - a signature unless they have the secret.very hard for the attacker to discover) and suddently you're doing what
AES-GCM *already* does for you, except you're trying to hack it yourself
instead of using the tools available which were written by experts.I am all in favor of using the expert-written tools provided we can
figure out how to do it in a way we all agree is correct.
In the patch set that Bruce has which uses the OpenSSL functions to do
AES GCM with tag there is included a test suite which works with the
NIST published test vectors to verify that it all works correctly with
the key, nonce/IV, plaintext, tag, ciphertext, etc. The patch set
includes a subset of the NIST tests since we rely on OpenSSL for the
heavy lifting there, but the entire test suite passes if you pull down
the test vectors and run them.
What this means for your proposal above is that the actual data
validation information will be generated in two different ways depending
on if we're using AES-GCM and doing TDE, or if we're doing just the data
validation piece and not encrypting anything. That's maybe not ideal
but I don't think it's a huge issue either and your proposal will still
address the question of if we end up missing anything when it comes to
how the special area is handled throughout the code.Hmm. Is there no expert-written method for this sort of thing without
encryption? One thing that I think would be really helpful is to be
able to take a TDE-ified cluster and run it through decryption, ending
up with a cluster that still has extra special space but which isn't
actually encrypted any more. Ideally it can end up in a state where
integrity validation still works. This might be something people just
Want To Do, and they're willing to sacrifice the space. But it would
also be real nice for testing and debugging. Imagine for example that
the data on page X is physiologically corrupted i.e. decryption
produces something that looks like a page, but there's stuff wrong
with it, like the item pointers point to a page offset greater than
the page size. Well, what you really want to do with this page is run
pg_filedump on it, or hexdump, or od, or pg_hexedit, or whatever your
favorite tool is, so that you can figure out what's going on, but
that's going to be hard if the pages are all encrypted.
So ... yes and no.
If you want to actually verify that the data is valid and unmolested by
virtue of a key being involved, then you can actually use AES GCM and
simply only feed it AADlen. The NIST examples have test cases for
exactly this too:
Count = 0
Key = 78dc4e0aaf52d935c3c01eea57428f00ca1fd475f5da86a49c8dd73d68c8e223
IV = d79cf22d504cc793c3fb6c8a
PT =
AAD = b96baa8c1c75a671bfb2d08d06be5f36
CT =
Tag = 3e5d486aa2e30b22e040b85723a06e76
Note that in this case there's a key and an IV/nonce, but there isn't
any plaintext while there *is* AAD ("Additional Authenticated Data").
We could certainly do that too, the downside there is mostly that we'd
still need a key and an IV and those seem like odd parameters to
require when we aren't doing encryption, but it would mean we'd be using
the exact same functions with OpenSSL that we would be in the TDE case,
just passing in the block as AAD instead of as plaintext to be
encrypted, so there is that advantage to it.
I guess nothing in what you are saying really precludes that, but I
agree that if we have to switch up the method for creating the
integrity verifier thing in this situation, that's not great.
I had been imagining that we wouldn't want to require a key and have to
calculate an IV/nonce for the "not doing TDE" case, so I was figuring
we'd just use a hash and it'd be very much like our existing checksum
and not provide any real protection against an attacker intentionally
molesting the page (since they can just calculate a new checksum that
includes whatever their changes were).
At the end of the day though, I'm fine with either (or both, for that
matter; I don't see any of these aspects being the difficult to
implement bits, the question is mainly what do we give our users the
ability to do, what do we just use for development, etc).
If it'd help, I'd be happy to jump on a call to discuss further. Also
happy to continue on this thread too, of course.I am finding the written discussion to be helpful right now, and it
has the advantage of being easy to refer back to later, so my vote
would be to keep doing this for now and we can always reassess if it
seems to make sense.
Sure.
Thanks!
Stephen
On Wed, May 26, 2021 at 03:49:43PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
OK, that's what I thought. We already expose the clog and fsm, so
exposing the hint bits seems acceptable. If everyone agrees, I will
adjust my patch to not WAL log hint bit changes.Robert pointed out that it's not just hint bits where this is happening
though, but it can also happen with btree line pointer arrays. Even if
we were entirely comfortable accepting that the hint bits are leaked
because of this, leaking the btree line pointer array doesn't seem like
it could possibly be acceptable..I've not run down that code myself, but I don't have any reason to doubt
Robert's assessment.
OK, I guess we could split out log_hints to maybe just FPW-log btree
changes or something, but my recent email questions why wal_log_hints is
an issue anyway.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, May 26, 2021 at 04:40:48PM -0400, Bruce Momjian wrote:
On Wed, May 26, 2021 at 01:56:38PM -0400, Robert Haas wrote:
However, I believe that if we store the nonce in the page explicitly,
as proposed here, rather trying to derive it from the LSN, then we
don't need to worry about this kind of masking, which I think is
better from both a security perspective and a performance perspective.You are saying that by using a non-LSN nonce, you can write out the page
with a new nonce, but the same LSN, and also discard the page during
crash recovery and use the WAL copy?I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints. I must be missing
something.Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?
One detail might be this extra hint bit FPW case:
https://github.com/postgres/postgres/compare/bmomjian:cfe-01-doc..bmomjian:_cfe-02-internaldoc.patch
However, if a hint-bit-modified page is written to the file system
during a checkpoint, and there is a later hint bit change switching
the same page from clean to dirty during the same checkpoint, we
need a new LSN, and wal_log_hints doesn't give us a new LSN here.
The fix for this is to update the page LSN by writing a dummy
WAL record via xloginsert.c::LSNForEncryption() in such cases.
Is this how file encryption is different from checksum wal_log_hints,
and the big concern?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, May 26, 2021 at 01:56:38PM -0400, Robert Haas wrote:
In the interest of not being viewed as too much of a naysayer, let me
first reiterate that I am generally in favor of TDE going forward and
am not looking to throw up unnecessary obstacles in the way of making
that happen.
Rather than surprise anyone, I might as well just come out and say some
things. First, I have always admitted this feature has limited
usefulness.
I think a non-LSN nonce adds a lot of code complexity, which adds a code
and maintenance burden. It also prevents the creation of an encrypted
replica from a non-encrypted primary using binary replication, which
makes deployment harder.
Take a feature of limited usefulness, add code complexity and deployment
difficulty, and the feature becomes even less useful.
For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On 2021-05-26 07:14:47 +0200, Antonin Houska wrote:
Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 04:48:21PM -0700, Andres Freund wrote:
My point was about whether we need to change the nonce, and hence
WAL-log full page images if we change hint bits. If we don't and
reencrypt the page with the same nonce, don't we only expose the hint
bits? I was not suggesting we avoid changing the nonce in non-hint-bit
cases.I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?
Yea, I had a bit of a misfire there. Sorry.
I suspect that if we try to not disclose data if an attacker has write
access, this still leaves us with issues around nonce reuse, unless we
also employ integrity measures. Particularly due to CTR mode, which
makes it easy to manipulate individual parts of the encrypted page
without causing the decrypted page to be invalid. E.g. the attacker can
just update pd_upper on the page by a small offset, and suddenly the
replay will insert the tuple at a slightly shifted offset - which then
seems to leak enough data to actually analyze things?
As the patch stands that seems trivially doable, because as I read it,
most of the page header is not encrypted, and checksums are done of the
already encrypted data. But even if that weren't the case, brute forcing
16bit worth of checksum isn't too bad, even though it would obviously
make an attack a lot more noisy.
https://github.com/bmomjian/postgres/commit/7b43d37a5edb91c29ab6b4bb00def05def502c33#diff-0dcb5b2f36c573e2a7787994690b8fe585001591105f78e58ae3accec8f998e0R92
/*
* Check if the page has a special size == GISTPageOpaqueData, a valid
* GIST_PAGE_ID, no invalid GiST flag bits are set, and a valid LSN. This
* is true for all GiST pages, and perhaps a few pages that are not. The
* only downside of guessing wrong is that we might not update the LSN for
* some non-permanent relation page changes, and therefore reuse the IV,
* which seems acceptable.
*/
Huh?
Regards,
Andres
Hi,
On 2021-05-25 22:23:46 -0400, Stephen Frost wrote:
Andres mentioned other possible cases where the LSN doesn’t change even
though we change the page and, as he’s probably right, we would have to
figure out a solution in those cases too (potentially including cases like
crash recovery or replay on a replica where we can’t really just go around
creating dummy WAL records to get new LSNs..).
Yea, I think there's quite a few of those. For one, we don't guarantee
that that the hole between pd_lower/upper is zeroes. It e.g. contains
old tuple data after deleted tuples are pruned away. But when logging an
FPI, we omit that range. Which means that after crash recovery the area
is zeroed out. There's several cases where padding can result in the
same.
Just look at checkXLogConsistency(), heap_mask() et al for all the
differences that can occur and that need to be ignored for the recovery
consistency checking to work.
Particularly the hole issue seems trivial to exploit, because we know
the plaintext of the hole after crash recovery (0s).
I don't see how using the LSN alone is salvagable.
Greetings,
Andres Freund
Hi,
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.
What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.
The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.
Greetings,
Andres Freund
Greetings,
On Thu, May 27, 2021 at 4:52 PM Bruce Momjian <bruce@momjian.us> wrote:
I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints. I must be missing
something.Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?
I'm really confused about it, too. I read the above communication, not sure
if my understanding is correct... What we are facing is not only the change
of flag such as *pd_flags*, but also others like pointer array changes in
btree like Robert said. We don't need them to write a WAL record.
I have an immature idea, could we use LSN+blkno+checksum as the nonce when
the checksum enabled? And when the checksum disabled, we just use a
global counter to generate a number as the fake checksum value... Then we
also use LSN+blkno+fake_checksum as the nonce. Is there anything wrong with
that?
--
There is no royal road to learning.
HighGo Software Co.
On Wed, May 26, 2021 at 4:40 PM Bruce Momjian <bruce@momjian.us> wrote:
You are saying that by using a non-LSN nonce, you can write out the page
with a new nonce, but the same LSN, and also discard the page during
crash recovery and use the WAL copy?
I don't know what "discard the page during crash recovery and use the
WAL copy" means.
I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints. I must be missing
something.
I explained this in the first complete paragraph of my first email
with this subject line: "For example, right now, we only need to WAL
log hints for the first write to each page after a checkpoint, but in
this approach, if the same page is written multiple times per
checkpoint cycle, we'd need to log hints every time." That's a huge
difference. Page eviction in some workloads can push the same pages
out of shared buffers every few seconds, whereas something that has to
be done once per checkpoint cycle cannot affect each page nearly so
often. A checkpoint is only going to occur every 5 minutes by default,
or more realistically every 10-15 minutes in a well-tuned production
system. In other words, we're not holding up some kind of double
standard, where the existing feature is allowed to depend on doing a
certain thing but your feature isn't allowed to depend on the same
thing. Your design depends on doing something which is potentially
100x+ more expensive than the existing thing. It's not always going to
be that expensive, but it can be.
Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?
Well, I don't want to throw away hint bit changes, just like we don't
throw them away right now. And I want to do that by making sure that
each time the page is written, we use a different nonce, but without
the expense of having to advance the LSN.
Now, another option is to do what you suggest here. We could say that
if a dirty page is evicted, but the page is only dirty because of
hint-type changes, we don't actually write it out. That does avoid
using the same nonce for multiple writes, because now there's only one
write. It also fixes the problem on standbys that Andres was
complaining about, because on a standby, the only way a page can
possibly be dirtied without an associated WAL record is through a
hint-type change. However, I think we'd find that this, too, is pretty
expensive in certain workloads. It's useful to write hint bits -
that's why we do it.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Wed, May 26, 2021 at 04:26:01PM -0700, Andres Freund wrote:
Hi,
On 2021-05-26 07:14:47 +0200, Antonin Houska wrote:
Bruce Momjian <bruce@momjian.us> wrote:
On Tue, May 25, 2021 at 04:48:21PM -0700, Andres Freund wrote:
My point was about whether we need to change the nonce, and hence
WAL-log full page images if we change hint bits. If we don't and
reencrypt the page with the same nonce, don't we only expose the hint
bits? I was not suggesting we avoid changing the nonce in non-hint-bit
cases.I don't understand your computation above. You decrypt the page into
shared buffers, you change a hint bit, and rewrite the page. You are
re-XOR'ing the buffer copy with the same key and nonce. Doesn't that
only change the hint bits in the new write?Yea, I had a bit of a misfire there. Sorry.
I suspect that if we try to not disclose data if an attacker has write
access, this still leaves us with issues around nonce reuse, unless we
also employ integrity measures. Particularly due to CTR mode, which
makes it easy to manipulate individual parts of the encrypted page
without causing the decrypted page to be invalid. E.g. the attacker can
just update pd_upper on the page by a small offset, and suddenly the
replay will insert the tuple at a slightly shifted offset - which then
seems to leak enough data to actually analyze things?
Yes, I don't think protecting from write access is a realistic goal at
this point, and frankly ever. I think write access protection needs
all-cluster-file encryption. This is documented:
https://github.com/postgres/postgres/compare/master..bmomjian:_cfe-01-doc.patch
Cluster file encryption does not protect against unauthorized
file system writes. Such writes can allow data decryption if
used to weaken the system's security and the weakened system is
later supplied with the externally-stored cluster encryption key.
This also does not always detect if users with write access remove
or modify database files.
If this needs more text, let me know.
As the patch stands that seems trivially doable, because as I read it,
most of the page header is not encrypted, and checksums are done of the
already encrypted data. But even if that weren't the case, brute forcing
16bit worth of checksum isn't too bad, even though it would obviously
make an attack a lot more noisy.https://github.com/bmomjian/postgres/commit/7b43d37a5edb91c29ab6b4bb00def05def502c33#diff-0dcb5b2f36c573e2a7787994690b8fe585001591105f78e58ae3accec8f998e0R92
/*
* Check if the page has a special size == GISTPageOpaqueData, a valid
* GIST_PAGE_ID, no invalid GiST flag bits are set, and a valid LSN. This
* is true for all GiST pages, and perhaps a few pages that are not. The
* only downside of guessing wrong is that we might not update the LSN for
* some non-permanent relation page changes, and therefore reuse the IV,
* which seems acceptable.
*/Huh?
Are you asking about this C commention in relation to the discussion
above, or is it an independent question? Are asking what it means?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, May 26, 2021 at 04:46:29PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 22:23:46 -0400, Stephen Frost wrote:
Andres mentioned other possible cases where the LSN doesn’t change even
though we change the page and, as he’s probably right, we would have to
figure out a solution in those cases too (potentially including cases like
crash recovery or replay on a replica where we can’t really just go around
creating dummy WAL records to get new LSNs..).Yea, I think there's quite a few of those. For one, we don't guarantee
that that the hole between pd_lower/upper is zeroes. It e.g. contains
old tuple data after deleted tuples are pruned away. But when logging an
FPI, we omit that range. Which means that after crash recovery the area
is zeroed out. There's several cases where padding can result in the
same.Just look at checkXLogConsistency(), heap_mask() et al for all the
differences that can occur and that need to be ignored for the recovery
consistency checking to work.Particularly the hole issue seems trivial to exploit, because we know
the plaintext of the hole after crash recovery (0s).I don't see how using the LSN alone is salvagable.
OK, so you are saying the replica would have all zeros because of crash
recovery, so XOR'ing that with the encryption steam makes the encryption
stream visible, and you could use that to decrypt the dead data on the
primary. That is an interesting case that would need to fix.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.
We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, May 27, 2021 at 05:45:21PM +0800, Neil Chen wrote:
Greetings,
On Thu, May 27, 2021 at 4:52 PM Bruce Momjian <bruce@momjian.us> wrote:
I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints.� I must be missing
something.Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?I'm really confused about it, too. I read the above communication, not sure if
my understanding is correct...�What we are facing is not only the change of
flag such as *pd_flags*, but also others like pointer array changes in btree
like Robert said. We don't need them to write a WAL record.
Well, the code now does write full page images for hint bit changes, so
it should work fine.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, May 27, 2021 at 10:47:13AM -0400, Robert Haas wrote:
On Wed, May 26, 2021 at 4:40 PM Bruce Momjian <bruce@momjian.us> wrote:
You are saying that by using a non-LSN nonce, you can write out the page
with a new nonce, but the same LSN, and also discard the page during
crash recovery and use the WAL copy?I don't know what "discard the page during crash recovery and use the
WAL copy" means.
I was asking how decoupling the nonce from the LSN allows for us to
avoid full page writes for hint bit changes. I am guessing you are
saying that on recovery, if we see a hint-bit-only change in the WAL
(with a new nonce), we just throw away the page because it could be torn
and use the WAL full page write version.
I am confused why checksums, which are widely used, acceptably require
wal_log_hints, but there is concern that file encryption, which is
heavier, cannot acceptably require wal_log_hints. I must be missing
something.I explained this in the first complete paragraph of my first email
with this subject line: "For example, right now, we only need to WAL
log hints for the first write to each page after a checkpoint, but in
this approach, if the same page is written multiple times per
checkpoint cycle, we'd need to log hints every time." That's a huge
difference. Page eviction in some workloads can push the same pages
out of shared buffers every few seconds, whereas something that has to
be done once per checkpoint cycle cannot affect each page nearly so
often. A checkpoint is only going to occur every 5 minutes by default,
or more realistically every 10-15 minutes in a well-tuned production
system. In other words, we're not holding up some kind of double
standard, where the existing feature is allowed to depend on doing a
certain thing but your feature isn't allowed to depend on the same
thing. Your design depends on doing something which is potentially
100x+ more expensive than the existing thing. It's not always going to
be that expensive, but it can be.
Yes, it might be 1e100+++ more expensive too, but we don't know, and I
am not ready to add a lot of complexity for such an unknown.
Why can't checksums also throw away hint bit changes like you want to do
for file encryption and not require wal_log_hints?Well, I don't want to throw away hint bit changes, just like we don't
throw them away right now. And I want to do that by making sure that
each time the page is written, we use a different nonce, but without
the expense of having to advance the LSN.Now, another option is to do what you suggest here. We could say that
if a dirty page is evicted, but the page is only dirty because of
hint-type changes, we don't actually write it out. That does avoid
using the same nonce for multiple writes, because now there's only one
write. It also fixes the problem on standbys that Andres was
complaining about, because on a standby, the only way a page can
possibly be dirtied without an associated WAL record is through a
hint-type change. However, I think we'd find that this, too, is pretty
expensive in certain workloads. It's useful to write hint bits -
that's why we do it.
Oh, that does sound nice. It is kind of an exit hatch if we are
evicting pages often for hint bit changes. I like it.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On Thu, May 27, 2021, at 08:10, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.
The WAL is block oriented too.
Andres
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On Thu, May 27, 2021, at 08:10, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.The WAL is block oriented too.
I'm curious what you'd suggest for the heap where we wouldn't be able to
have block chaining (at least, I presume we aren't talking about
rewriting entire segments whenever we change something in a heap).
Thanks,
Stephen
On Wed, May 26, 2021 at 05:02:01PM -0400, Bruce Momjian wrote:
Rather than surprise anyone, I might as well just come out and say some
things. First, I have always admitted this feature has limited
usefulness.I think a non-LSN nonce adds a lot of code complexity, which adds a code
and maintenance burden. It also prevents the creation of an encrypted
replica from a non-encrypted primary using binary replication, which
makes deployment harder.Take a feature of limited usefulness, add code complexity and deployment
difficulty, and the feature becomes even less useful.For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.
I had some more time to think about this. The big struggle for this
feature has not been writing it, but rather keeping it lean enough that
its code complexity will be acceptable for a feature of limited
usefulness. (The Windows port and pg_upgrade took similar approaches.)
Thinking about the feature to add checksums online, it seems to have
failed due to us over-complexifying the feature. If we had avoided
allowing the checksum restart requirement, the patch would probably be
part of Postgres today. However, a few people asked for
restart-ability, and since we don't really have much infrastructure to
do online whole-cluster changes, it added a lot of code. Once the patch
was done, we looked at the code size and the benefits of the feature,
and decided it wasn't worth it.
I suspect that if we start adding a non-LSN nonce and malicious write
detection, we will end up with the same problem --- a complex patch for
a feature that has limited usefulness, and requires dump/restore or
logical replication to add it to a cluster. I think such a patch would
be rejected, and I would probably even vote against it myself.
I don't want this to sound like I only want to do this my way, but I
also don't want to be silent when I smell failure, and if the
probability of failure gets too high, I am willing to abandon a feature
rather than continue.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On 2021-05-27 11:49:33 -0400, Stephen Frost wrote:
* Andres Freund (andres@anarazel.de) wrote:
On Thu, May 27, 2021, at 08:10, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.The WAL is block oriented too.
I'm curious what you'd suggest for the heap where we wouldn't be able to
have block chaining (at least, I presume we aren't talking about
rewriting entire segments whenever we change something in a heap).
What prevents us from using something like XTS? I'm not saying that that
is the right approach, due to the fact that it leaks information about a
block being the same as an earlier version of the same block. But right
now we are talking about using CTR without addressing the weaknesses CTR
has, where a failure to increase the nonce is fatal (the code even
documents known cases where that could happen!), and where there's no
error propagation within a block.
Greetings,
Andres Freund
On Thu, May 27, 2021 at 08:34:51AM -0700, Andres Freund wrote:
Hi,
On Thu, May 27, 2021, at 08:10, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
Hi,
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.The WAL is block oriented too.
Well, AES block mode only does 16-byte blocks, as far as I know, and I
assume WAL is more granular than that. Also, you need to know the bytes
_before_ the WAL do write a new 16-byte block, so it seems overly
complex for our usage too.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, May 27, 2021 at 11:19 AM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, May 27, 2021 at 10:47:13AM -0400, Robert Haas wrote:
On Wed, May 26, 2021 at 4:40 PM Bruce Momjian <bruce@momjian.us> wrote:
You are saying that by using a non-LSN nonce, you can write out the page
with a new nonce, but the same LSN, and also discard the page during
crash recovery and use the WAL copy?I don't know what "discard the page during crash recovery and use the
WAL copy" means.I was asking how decoupling the nonce from the LSN allows for us to
avoid full page writes for hint bit changes. I am guessing you are
saying that on recovery, if we see a hint-bit-only change in the WAL
(with a new nonce), we just throw away the page because it could be torn
and use the WAL full page write version.
Well, in the design where the nonce is stored in the page, there is no
need for every hint-type change to appear in the WAL at all. Once per
checkpoint cycle, you need to write a full page image, as we do for
checksums or wal_log_hints. The rest of the time, you can just bump
the nonce and rewrite the page, same as we do today.
Yes, it might be 1e100+++ more expensive too, but we don't know, and I
am not ready to add a lot of complexity for such an unknown.
No, it can't be 1e100+++ more expensive, because it's not
realistically possible for a page to be written to disk 1e100+++ times
per checkpoint cycle. It is however entirely possible for it to be
written 100 times per checkpoint cycle. That is not something unknown
about which we need to speculate; it is easy to see that this can
happen, even on a simple test like pgbench with a data set larger than
shared buffers.
It is not right to confuse "we have no idea whether this will be
expensive" with "how expensive this will be is workload-dependent,"
which is what you seem to be doing here. If we had no idea whether
something would be expensive, then I agree that it might not be worth
adding complexity for it, or maybe some testing should be done first
to find out. But if we know for certain that in some workloads
something can be very expensive, then we had better at least talk
about whether it is worth adding complexity in order to resolve the
problem. And that is the situation here.
I am not even convinced that storing the nonce in the block is going
to be more complex, because it seems to me that the patches I posted
upthread worked out pretty cleanly. There are some things to discuss
and think about there, for sure, but it is not like we are talking
about inventing warp drive.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 12:01:16 -0400, Bruce Momjian wrote:
On Thu, May 27, 2021 at 08:34:51AM -0700, Andres Freund wrote:
On Thu, May 27, 2021, at 08:10, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:11:24PM -0700, Andres Freund wrote:
On 2021-05-25 17:12:05 -0400, Bruce Momjian wrote:
If we used a block cipher instead of a streaming one (CTR), this might
not work because the earlier blocks can be based in the output of
later blocks.What made us choose CTR for WAL & data file encryption? I checked the
README in the patchset and the wiki page, and neither seem to discuss
that.The dangers around nonce reuse, the space overhead of storing the nonce,
the fact that single bit changes in the encrypted data don't propagate
seem not great? Why aren't we using something like XTS? It has obvious
issues as wel, but CTR's weaknesses seem at least as great. And if we
want a MAC, then we don't want CTR either.We chose CTR because it was fast, and we could use the same method for
WAL, which needs a streaming, not block, cipher.The WAL is block oriented too.
Well, AES block mode only does 16-byte blocks, as far as I know, and I
assume WAL is more granular than that.
WAL is 8kB blocks by default. We only ever write it out with at least
that granularity.
Also, you need to know the bytes _before_ the WAL do write a new
16-byte block, so it seems overly complex for our usage too.
See the XTS reference. Yes, it needs the previous 16bytes, but only
within the 8kB page.
Greetings,
Andres Freund
On Thu, May 27, 2021 at 12:03:00PM -0400, Robert Haas wrote:
On Thu, May 27, 2021 at 11:19 AM Bruce Momjian <bruce@momjian.us> wrote:
I was asking how decoupling the nonce from the LSN allows for us to
avoid full page writes for hint bit changes. I am guessing you are
saying that on recovery, if we see a hint-bit-only change in the WAL
(with a new nonce), we just throw away the page because it could be torn
and use the WAL full page write version.Well, in the design where the nonce is stored in the page, there is no
need for every hint-type change to appear in the WAL at all. Once per
checkpoint cycle, you need to write a full page image, as we do for
checksums or wal_log_hints. The rest of the time, you can just bump
the nonce and rewrite the page, same as we do today.
What is it about having the nonce be the LSN that doesn't allow that to
happen? Could we just create a dummy LSN record and assign that to the
page and use that as a nonce.
Yes, it might be 1e100+++ more expensive too, but we don't know, and I
am not ready to add a lot of complexity for such an unknown.No, it can't be 1e100+++ more expensive, because it's not
realistically possible for a page to be written to disk 1e100+++ times
per checkpoint cycle. It is however entirely possible for it to be
written 100 times per checkpoint cycle. That is not something unknown
about which we need to speculate; it is easy to see that this can
happen, even on a simple test like pgbench with a data set larger than
shared buffers.
I guess you didn't get my joke on that one. ;-)
It is not right to confuse "we have no idea whether this will be
expensive" with "how expensive this will be is workload-dependent,"
which is what you seem to be doing here. If we had no idea whether
something would be expensive, then I agree that it might not be worth
adding complexity for it, or maybe some testing should be done first
to find out. But if we know for certain that in some workloads
something can be very expensive, then we had better at least talk
about whether it is worth adding complexity in order to resolve the
problem. And that is the situation here.
Sure, but the downsides of avoiding it seem very high to me, not only in
code complexity but in requiring dump/reload or logical replication to
deploy.
I am not even convinced that storing the nonce in the block is going
to be more complex, because it seems to me that the patches I posted
upthread worked out pretty cleanly. There are some things to discuss
and think about there, for sure, but it is not like we are talking
about inventing warp drive.
See above.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On 2021-05-27 11:10:00 -0400, Bruce Momjian wrote:
On Wed, May 26, 2021 at 04:46:29PM -0700, Andres Freund wrote:
On 2021-05-25 22:23:46 -0400, Stephen Frost wrote:
Andres mentioned other possible cases where the LSN doesn’t change even
though we change the page and, as he’s probably right, we would have to
figure out a solution in those cases too (potentially including cases like
crash recovery or replay on a replica where we can’t really just go around
creating dummy WAL records to get new LSNs..).Yea, I think there's quite a few of those. For one, we don't guarantee
that that the hole between pd_lower/upper is zeroes. It e.g. contains
old tuple data after deleted tuples are pruned away. But when logging an
FPI, we omit that range. Which means that after crash recovery the area
is zeroed out. There's several cases where padding can result in the
same.Just look at checkXLogConsistency(), heap_mask() et al for all the
differences that can occur and that need to be ignored for the recovery
consistency checking to work.Particularly the hole issue seems trivial to exploit, because we know
the plaintext of the hole after crash recovery (0s).I don't see how using the LSN alone is salvagable.
OK, so you are saying the replica would have all zeros because of crash
recovery, so XOR'ing that with the encryption steam makes the encryption
stream visible, and you could use that to decrypt the dead data on the
primary. That is an interesting case that would need to fix.
I don't see how it's a viable security model to assume that you can
ensure that we never write different data with the same LSN. Yes, you
can fix a few cases, but how can we be confident that we're actually
doing a good job, when the consequences are pretty dramatic.
Nor do I think it's architecturally OK to impose a significant new
hurdle against doing any sort of "changing" writes on standbys.
It's time to move on from the idea of using the LSN as the nonce.
Greetings,
Andres Freund
Hi,
On 2021-05-27 10:57:24 -0400, Bruce Momjian wrote:
On Wed, May 26, 2021 at 04:26:01PM -0700, Andres Freund wrote:
I suspect that if we try to not disclose data if an attacker has write
access, this still leaves us with issues around nonce reuse, unless we
also employ integrity measures. Particularly due to CTR mode, which
makes it easy to manipulate individual parts of the encrypted page
without causing the decrypted page to be invalid. E.g. the attacker can
just update pd_upper on the page by a small offset, and suddenly the
replay will insert the tuple at a slightly shifted offset - which then
seems to leak enough data to actually analyze things?Yes, I don't think protecting from write access is a realistic goal at
this point, and frankly ever. I think write access protection needs
all-cluster-file encryption. This is documented:https://github.com/postgres/postgres/compare/master..bmomjian:_cfe-01-doc.patch
Cluster file encryption does not protect against unauthorized
file system writes. Such writes can allow data decryption if
used to weaken the system's security and the weakened system is
later supplied with the externally-stored cluster encryption key.
This also does not always detect if users with write access remove
or modify database files.If this needs more text, let me know.
Well, it's one thing to say that it's not a complete protection, and
another that a few byte sized writes to a single page are sufficient to
get access to encrypted data. And "all-cluster-file" encryption won't
help against the type of scenario I outlined.
https://github.com/bmomjian/postgres/commit/7b43d37a5edb91c29ab6b4bb00def05def502c33#diff-0dcb5b2f36c573e2a7787994690b8fe585001591105f78e58ae3accec8f998e0R92
/*
* Check if the page has a special size == GISTPageOpaqueData, a valid
* GIST_PAGE_ID, no invalid GiST flag bits are set, and a valid LSN. This
* is true for all GiST pages, and perhaps a few pages that are not. The
* only downside of guessing wrong is that we might not update the LSN for
* some non-permanent relation page changes, and therefore reuse the IV,
* which seems acceptable.
*/Huh?
Are you asking about this C commention in relation to the discussion
above, or is it an independent question? Are asking what it means?
The comment is blithely waving away a fundamental no-no (reusing nonces)
when using CTR mode as "acceptable".
Greetings,
Andres Freund
On Thu, May 27, 2021 at 12:01 PM Andres Freund <andres@anarazel.de> wrote:
What prevents us from using something like XTS? I'm not saying that that
is the right approach, due to the fact that it leaks information about a
block being the same as an earlier version of the same block. But right
now we are talking about using CTR without addressing the weaknesses CTR
has, where a failure to increase the nonce is fatal (the code even
documents known cases where that could happen!), and where there's no
error propagation within a block.
I spent some time this morning reading up on XTS in general and also
on previous discussions on this list on the list. It seems like XTS is
considered state-of-the-art for full disk encryption, and what we're
doing seems to me to be similar in concept. The most useful on-list
discussion that I found was on this thread:
/messages/by-id/c878de71-a0c3-96b2-3e11-9ac2c35357c3@joeconway.com
There are a lot of things that people said on that thread, but then
Bruce basically proposes CBC and/or CTR and I couldn't clearly
understand the reasons for that choice. Maybe there was some off-list
discussion of this that wasn't captured in the email traffic?
All that having been said, I am pretty sure I don't fully understand
what any of these modes involve. I gather that XTS requires two keys,
but it seems like it doesn't require a nonce. It seems to use a
"tweak" that is generated from the block number and the position
within the block (since an e.g. 8kB database block is being encrypted
as a bunch of 16-byte AES blocks) but apparently there's no problem
with the tweak being the same every time the block is encrypted? If no
nonce is required, that seems like a massive advantage, since then we
don't need to worry about how to get one or about how to make sure
it's never reused.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 10:47:13 -0400, Robert Haas wrote:
Now, another option is to do what you suggest here. We could say that
if a dirty page is evicted, but the page is only dirty because of
hint-type changes, we don't actually write it out. That does avoid
using the same nonce for multiple writes, because now there's only one
write. It also fixes the problem on standbys that Andres was
complaining about, because on a standby, the only way a page can
possibly be dirtied without an associated WAL record is through a
hint-type change.
What does that protect against that I was concerned about? That still
allows hint bits to be leaked, via
1) replay WAL record with FPI
2) hint bit change during read
3) incremental page change
vs 1) 3). Even if we declare that OK, it doesn't actually address the
whole issue of WAL replay not necessarily re-creating bit identical page
contents.
Greetings,
Andres Freund
Hi,
On 2021-05-27 12:28:39 -0400, Robert Haas wrote:
All that having been said, I am pretty sure I don't fully understand
what any of these modes involve. I gather that XTS requires two keys,
but it seems like it doesn't require a nonce.
It needs a second secret, but that second secret can - as far as I
understand it - be generated using a strong prng and encrypted with the
"main" key, and stored in a central location.
It seems to use a "tweak" that is generated from the block number and
the position within the block (since an e.g. 8kB database block is
being encrypted as a bunch of 16-byte AES blocks) but apparently
there's no problem with the tweak being the same every time the block
is encrypted?
Right. That comes with a price however: It leaks the information that a
block "version" is identical to an earlier version of the block. That's
obviously better than leaking information that allows decryption like
with the nonce reuse issue.
Nor does it provide integrity - which does seem like a significant issue
going forward. Which does require storing additional per-page data...
Greetings,
Andres Freund
On Thu, May 27, 2021 at 12:28:39PM -0400, Robert Haas wrote:
On Thu, May 27, 2021 at 12:01 PM Andres Freund <andres@anarazel.de> wrote:
What prevents us from using something like XTS? I'm not saying that that
is the right approach, due to the fact that it leaks information about a
block being the same as an earlier version of the same block. But right
now we are talking about using CTR without addressing the weaknesses CTR
has, where a failure to increase the nonce is fatal (the code even
documents known cases where that could happen!), and where there's no
error propagation within a block.I spent some time this morning reading up on XTS in general and also
on previous discussions on this list on the list. It seems like XTS is
considered state-of-the-art for full disk encryption, and what we're
doing seems to me to be similar in concept. The most useful on-list
discussion that I found was on this thread:/messages/by-id/c878de71-a0c3-96b2-3e11-9ac2c35357c3@joeconway.com
There are a lot of things that people said on that thread, but then
Bruce basically proposes CBC and/or CTR and I couldn't clearly
understand the reasons for that choice. Maybe there was some off-list
discussion of this that wasn't captured in the email traffic?
There was no other discussion about XTS that I know of.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, May 27, 2021 at 12:31 PM Andres Freund <andres@anarazel.de> wrote:
What does that protect against that I was concerned about? That still
allows hint bits to be leaked, via1) replay WAL record with FPI
2) hint bit change during read
3) incremental page changevs 1) 3). Even if we declare that OK, it doesn't actually address the
whole issue of WAL replay not necessarily re-creating bit identical page
contents.
You're right. That seems fatal, as it would lead to encrypting the
different versions of the page with the IV on the master and the
standby, and the differences would consist of old data that could be
recovered by XORing the two encrypted page versions. To be clear, it
is tuple data that would be recovered, not just hint bits.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 12:28:39 -0400, Robert Haas wrote:
All that having been said, I am pretty sure I don't fully understand
what any of these modes involve. I gather that XTS requires two keys,
but it seems like it doesn't require a nonce.It needs a second secret, but that second secret can - as far as I
understand it - be generated using a strong prng and encrypted with the
"main" key, and stored in a central location.
Yes, I'm fairly confident this is the case.
It seems to use a "tweak" that is generated from the block number and
the position within the block (since an e.g. 8kB database block is
being encrypted as a bunch of 16-byte AES blocks) but apparently
there's no problem with the tweak being the same every time the block
is encrypted?Right. That comes with a price however: It leaks the information that a
block "version" is identical to an earlier version of the block. That's
obviously better than leaking information that allows decryption like
with the nonce reuse issue.
Right, if we simply can't solve the nonce-reuse concern then that would
be better.
Nor does it provide integrity - which does seem like a significant issue
going forward. Which does require storing additional per-page data...
Yeah, this is one of the reasons that I hadn't really been thrilled with
XTS- I've really been looking down the road at eventually having GCM and
having actual integrity validation included.
That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.
Thanks,
Stephen
Hi,
On 2021-05-27 12:49:15 -0400, Stephen Frost wrote:
That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.
But won't we then end up with a different set of requirements around
nonce assignment durability when introducing GCM support? That's not
actually entirely trivial to do correctly on a standby. I guess we can
use AES-GCM-SSIV and be ok with living with edge cases leading to nonce
reuse, but ...
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 12:49:15 -0400, Stephen Frost wrote:
That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.But won't we then end up with a different set of requirements around
nonce assignment durability when introducing GCM support? That's not
actually entirely trivial to do correctly on a standby. I guess we can
use AES-GCM-SSIV and be ok with living with edge cases leading to nonce
reuse, but ...
Not sure if I'm entirely following the question but I would have thought
the up-thread idea of generating a random part of the nonce for each
start up and then a global counter for the rest, which would be written
whenever the page is updated (meaning it wouldn't have anything to do
with the LSN and would be stored in the special area as Robert
contemplated) would work for both primaries and replicas.
Taking a step back, while I like the idea of trying to think through
these complications in a future world where we add GCM support, if we're
actually agreed on seriously looking at XTS for v15 then maybe we should
focus on that for the moment. As Bruce says, there's a lot of moving
parts in this patch that likely need discussion and agreement in order
for us to be able to move forward with it. For one, we'd probably want
to get agreement on what we'd use to construct the tweak, for starters.
Thanks,
Stephen
On Thu, May 27, 2021 at 12:15 PM Bruce Momjian <bruce@momjian.us> wrote:
Well, in the design where the nonce is stored in the page, there is no
need for every hint-type change to appear in the WAL at all. Once per
checkpoint cycle, you need to write a full page image, as we do for
checksums or wal_log_hints. The rest of the time, you can just bump
the nonce and rewrite the page, same as we do today.What is it about having the nonce be the LSN that doesn't allow that to
happen? Could we just create a dummy LSN record and assign that to the
page and use that as a nonce.
I can't tell which of two possible proposals you are describing here.
If the LSN is used to derive the nonce, then one option is to just log
a WAL record every time we need a new nonce. As I understand it,
that's basically what you've already implemented, and we've discussed
the disadvantages of that approach at some length already. The basic
problems seem to be:
- It's potentially very expensive if page evictions are frequent,
which they will be whenever the workload is write-heavy and the
working set is larger than shared_buffers.
- If there's ever a situation where we need to write a page image
different from any page image written previously and we cannot at that
time write a WAL record to generate a new LSN for use as the nonce,
then the algorithm is broken entirely. Andres's latest post points out
- I think correctly - that this happens on standbys, because WAL
replay does not generate byte-identical results on standbys even if
you ignore hint bits.
The first point strikes me as a sufficiently serious performance
problem to justify giving up on this design, but that's a judgement
call. The second one seems like it breaks it entirely.
Now, there's another possible direction that is also suggested by your
remarks here: maybe you meant using a fake LSN in cases where we can't
use a real one. For example, suppose you decide to reserve half of the
LSN space - all LSNs with the high bit set, for example - for this
purpose. Well, you somehow need to ensure that you never use one of
those values more than once, so you might think of putting a counter
in shared memory. But now imagine a master with two standbys. How
would you avoid having the same counter value used on one standby and
also on the other standby? Even if they use the same counter for
different pages, it's a critical security flaw. And since those
standbys don't even need to know that the other one exists, that seems
pretty well impossible to avoid.
Now you might ask why we don't have the same problem if we store the
nonce in the special space. One difference is that if you store the
nonce explicitly, you can allow however much bit space you need in
order to guarantee uniqueness, whereas reserving half the LSN space
only gives you 63 bits. That's not enough to achieve uniqueness
without tight coordination. With 128 bits, you can do things like just
generate random values and assume they're vanishingly unlikely to
collide, or randomly generate half the value and use the other half as
a counter and be pretty safe. With 63 bits you just don't have enough
bit space available to reliably avoid collisions using algorithms of
that type, due to the birthday paradox. I think it would be adequate
for uniqueness if there were a single shared counter and every
allocation came from it, but again, as soon as you imagine a master
and a bunch of standbys, that breaks down.
Also, it's not entirely clear to me that you can avoid needing the LSN
space on the page for a real LSN at the same time you also need it for
a fake-LSN-being-used-as-a-nonce. We rely on the LSN field containing
the LSN of the last WAL record for the page in order to obey the
WAL-before-data rule, without which crash recovery will not work
reliably. Now, if you sometimes have to use that field for a nonce
that is a fake LSN, that means you no longer always have a place to
store the real LSN. I can't convince myself off-hand that it's
completely impossible to work around that problem, but it seems like
any attempt to do so would be complicated and fragile at best. I don't
think that's a direction that we want to go. Making crash recovery
work reliably is a hard problem where we've had lots of bugs despite
years of dedicated effort. TDE is also complex and has lots of
pitfalls of its own. If we take two things which are individually
complicated and hard to get right and intertwine them by making them
share bit-space, I think it drives the complexity up to a level where
we don't have much hope of getting things right.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 12:00:03 -0400, Bruce Momjian wrote:
On Wed, May 26, 2021 at 05:02:01PM -0400, Bruce Momjian wrote:
Rather than surprise anyone, I might as well just come out and say some
things. First, I have always admitted this feature has limited
usefulness.I think a non-LSN nonce adds a lot of code complexity, which adds a code
and maintenance burden. It also prevents the creation of an encrypted
replica from a non-encrypted primary using binary replication, which
makes deployment harder.Take a feature of limited usefulness, add code complexity and deployment
difficulty, and the feature becomes even less useful.For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.[...]
I suspect that if we start adding a non-LSN nonce and malicious write
detection, we will end up with the same problem --- a complex patch for
a feature that has limited usefulness, and requires dump/restore or
logical replication to add it to a cluster. I think such a patch would
be rejected, and I would probably even vote against it myself.
I think it's diametrically the opposite. Using the LSN as the nonce
requires that all code modifying pages needs to be audited (which
clearly hasn't been done yet), whereas an independent nonce can be
maintained in a few central places. And that's not just a one-off issue,
it's a forevermore issue.
Greetings,
Andres Freund
On Thu, May 27, 2021 at 12:49 PM Stephen Frost <sfrost@snowman.net> wrote:
Right, if we simply can't solve the nonce-reuse concern then that would
be better.
Given the issues that Andres raised about standbys and the treatment
of the "hole," I see using the LSN for the nonce as a dead-end. I
think it's pretty bad on performance grounds too, for reasons already
discussed, but you could always hypothesize that people care so much
about security that they will ignore any amount of trouble with
performance. You can hardly hypothesize that those same people also
won't mind security vulnerabilities that expose tuple data, though.
I don't think the idea of storing the nonce at the end of the page is
dead. There seem to be some difficulties there, but I think there are
reasonable prospects of solving them. At the very least there's the
brute-force approach of generating a ton of cryptographically strong
random numbers, and there seems to be some possibility of doing better
than that.
However, I'm pretty excited by this idea of using XTS. Now granted I
didn't have the foggiest idea what XTS was before today, but I hear
you and Andres saying that we can use that approach without needing a
nonce at all. That seems to make a lot of the problems we're talking
about here just go away.
Nor does it provide integrity - which does seem like a significant issue
going forward. Which does require storing additional per-page data...Yeah, this is one of the reasons that I hadn't really been thrilled with
XTS- I've really been looking down the road at eventually having GCM and
having actual integrity validation included.That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.
+1 from me to all of this except the idea of foreclosing present
discussion on how data-integrity validation could be made to work. I
think it would great to have more discussion of that problem now, in
case it informs our decisions about anything else, especially because,
based on your earlier remarks, it seems like there is some coupling
between the two problems.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 13:26:11 -0400, Stephen Frost wrote:
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 12:49:15 -0400, Stephen Frost wrote:
That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.But won't we then end up with a different set of requirements around
nonce assignment durability when introducing GCM support? That's not
actually entirely trivial to do correctly on a standby. I guess we can
use AES-GCM-SSIV and be ok with living with edge cases leading to nonce
reuse, but ...Not sure if I'm entirely following the question
It seems like it might end up with lots of duplicated effort to go for
XTS in the short term, if we medium term then have to solve all the
issues around how to maintain efficiently and correctly nonces anyway,
because we want integrity support.
but I would have thought the up-thread idea of generating a random
part of the nonce for each start up and then a global counter for the
rest, which would be written whenever the page is updated (meaning it
wouldn't have anything to do with the LSN and would be stored in the
special area as Robert contemplated) would work for both primaries and
replicas.
Yea, it's not a bad approach. Particularly because it removes the need
to ensure that "global nonce counter" increments are guaranteed to be
durable.
For one, we'd probably want to get agreement on what we'd use to
construct the tweak, for starters.
Hm, isn't that just a pg_strong_random() and storing it encrypted?
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 13:26:11 -0400, Stephen Frost wrote:
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 12:49:15 -0400, Stephen Frost wrote:
That's not really a reason to rule it out though and Bruce's point about
having a way to get to an encrypted cluster from an unencrypted one is
certainly worth consideration. Naturally, we'd need to document
everything appropriately but there isn't anything saying that we
couldn't, say, have XTS in v15 without any adjustments to the page
layout, accepting that there's no data integrity validation and focusing
just on encryption, and then returning to the question about adding in
data integrity validation for a future version, perhaps using the
special area for a nonce+tag with GCM or maybe something else. Users
who wish to move to a cluster with encryption and data integrity
validation would have to get there through some other means than
replication, but that's going to always be the case because we have to
have space to store the tag, even if we can figure out some other
solution for the nonce.But won't we then end up with a different set of requirements around
nonce assignment durability when introducing GCM support? That's not
actually entirely trivial to do correctly on a standby. I guess we can
use AES-GCM-SSIV and be ok with living with edge cases leading to nonce
reuse, but ...Not sure if I'm entirely following the question
It seems like it might end up with lots of duplicated effort to go for
XTS in the short term, if we medium term then have to solve all the
issues around how to maintain efficiently and correctly nonces anyway,
because we want integrity support.
You and Robert both seem to be going in that direction, one which I tend
to share, while Bruce is very hard set against it from the perspective
that he doesn't view integrity as important (I disagree quite strongly
with that, even if we can't protect everything, I see it as certainly
valuable to protect the primary data) and that this approach adds
complexity (the amount of which doesn't seem to be agreed upon).
I'm also not sure how much of the effort would really be duplicated.
Were we to start with XTS, that's almost drop-in with what Bruce has
(actually, it should simplify some parts since we no longer need to deal
with making sure we always increase the LSN, etc) gives users more
flexibility in terms of getting to an encrypted cluster and solves
certain use-cases. Very little of that seems like it would be ripped
out if we were to (also) provide a GCM option.
Now, if we were to *only* provide a GCM option then maybe we wouldn't
need to think about the XTS case of having to come up with a tweak
(though that seems like a rather small amount of code) but that would
also mean we need to change the page format and we can't do any kind of
binary/page-level transistion to an encrypted cluster, like we could
with XTS.
Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCM
If we want both a binary upgrade path, and a data integrity option, then
it seems like the only end state which provides both is GCM+XTS, in
which case I don't think there's a lot of actual duplication.
Perhaps there's an "XTS + some other data integrity approach" option
where we could preserve the page format by stuffing information into
another fork or maybe telling users to hash their data and store that
hash as another column which would allow us to avoid implementing GCM,
but I don't see a way to avoid having XTS if we are going to provide a
binary upgrade path.
Perhaps AES-GCM-SIV would be interesting to consider in general, but
that still means we need to find space for the tag and that still
precludes a binary upgrade path.
but I would have thought the up-thread idea of generating a random
part of the nonce for each start up and then a global counter for the
rest, which would be written whenever the page is updated (meaning it
wouldn't have anything to do with the LSN and would be stored in the
special area as Robert contemplated) would work for both primaries and
replicas.Yea, it's not a bad approach. Particularly because it removes the need
to ensure that "global nonce counter" increments are guaranteed to be
durable.
Right.
For one, we'd probably want to get agreement on what we'd use to
construct the tweak, for starters.Hm, isn't that just a pg_strong_random() and storing it encrypted?
Perhaps it is, but at least in some other cases it's generated based on
sector and block (which maybe could be relfilenode and block for us?):
Thanks,
Stephen
On Thu, May 27, 2021 at 1:07 PM Andres Freund <andres@anarazel.de> wrote:
But won't we then end up with a different set of requirements around
nonce assignment durability when introducing GCM support? That's not
actually entirely trivial to do correctly on a standby. I guess we can
use AES-GCM-SSIV and be ok with living with edge cases leading to nonce
reuse, but ...
All these different encryption modes are hard for me to grok.
That said, I want to mention a point which I think may be relevant
here. As far as I know, in the case of a permanent table page, we
never write X then X' then X again. If the change is WAL-logged, then
the LSN advances, and it will never thereafter go backward. Otherwise,
it's something that uses MarkBufferDirtyHint(). As far as I know, all
of those changes are one-way. For example, we set hint bits without
logging the change, but anything that clears hint bits is logged. We
mark btree index items dead as a type of hint, but they never come
back to life again; instead, they get cleaned out of the page entirely
as a WAL-logged operation. So I don't know that an adversary seeing
the same exact ciphertext multiple times is really likely to occur.
Well, it could certainly occur for temporary or unlogged tables, since
those have LSN = 0. And in cases were we currently copy pages around,
like creating a new database, it could happen. I suspect those cases
could be fixed, if we cared enough, and there are independent reasons
to want to fix the create-new-database case. It would be fairly easy
to put fake LSNs in temporary buffers, since they're in a separate
pool of buffers in backend-private memory with a separate buffer
manager. And it could probably even be done for unlogged tables,
though not as easily. Or we could use the special-space technique to
put some unpredictable garbage into each page and then change the
garbage every time we write the page. I read the discussion so far to
say that maybe these kinds of measures aren't even needed, and if so,
great. But even without doing anything, I don't think it's going to
happen very much.
Another case where this sort of thing might happen is a standby doing
whatever the master did. I suppose that could be avoided if the
standby always has its own encryption keys, but that forces a key
rotation when you create a standby, and it doesn't seem like a lot of
fun to insist on that. But the information leak seems minor. If we get
to a point where an adversary with full filesystem access on all our
systems can't do better than assessing our replication lag, we'll be a
lot better off then than we are now.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 15:22:21 -0400, Stephen Frost wrote:
I'm also not sure how much of the effort would really be duplicated.
Were we to start with XTS, that's almost drop-in with what Bruce has
(actually, it should simplify some parts since we no longer need to deal
with making sure we always increase the LSN, etc) gives users more
flexibility in terms of getting to an encrypted cluster and solves
certain use-cases. Very little of that seems like it would be ripped
out if we were to (also) provide a GCM option.
Now, if we were to *only* provide a GCM option then maybe we wouldn't
need to think about the XTS case of having to come up with a tweak
(though that seems like a rather small amount of code) but that would
also mean we need to change the page format and we can't do any kind of
binary/page-level transistion to an encrypted cluster, like we could
with XTS.
Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCM
Why would GCM + XTS make sense? Especially if we were to go with
AES-GCM-SIV or something, drastically reducing the danger of nonce
reuse?
And I don't think there's an easy way to do both using openssl, without
double encrypting, which we'd obviously not want for performance
reasons. And I don't think we'd want to implement either ourselves -
leaving other dangers aside, I don't think we want to do the
optimization work necessary to get good performance.
If we want both a binary upgrade path, and a data integrity option, then
it seems like the only end state which provides both is GCM+XTS, in
which case I don't think there's a lot of actual duplication.
I honestly feel that Bruce's point about trying to shoot for the moon,
and thus not getting the basic feature done, applies much more to the
binary upgrade path than anything else. I think we should just stop
aiming for that for now. If we later want to add code that goes through
the cluster to ensure that there's enough space on each page for
integrity data, to provide a migration path, fine. But we shouldn't make
the binary upgrade path for TED a hard requirement.
For one, we'd probably want to get agreement on what we'd use to
construct the tweak, for starters.Hm, isn't that just a pg_strong_random() and storing it encrypted?
Perhaps it is, but at least in some other cases it's generated based on
sector and block (which maybe could be relfilenode and block for us?):
My understanding is that you'd use
tweak_secret + block_offset
or
someop(tweak_secret, relfilenode) block_offset
to generate the actual per-block (in the 8192 byte, not 128bit sense) tweak.
Greetings,
Andres Freund
On Thu, May 27, 2021 at 3:22 PM Stephen Frost <sfrost@snowman.net> wrote:
Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCMIf we want both a binary upgrade path, and a data integrity option, then
it seems like the only end state which provides both is GCM+XTS, in
which case I don't think there's a lot of actual duplication.Perhaps there's an "XTS + some other data integrity approach" option
where we could preserve the page format by stuffing information into
another fork or maybe telling users to hash their data and store that
hash as another column which would allow us to avoid implementing GCM,
but I don't see a way to avoid having XTS if we are going to provide a
binary upgrade path.Perhaps AES-GCM-SIV would be interesting to consider in general, but
that still means we need to find space for the tag and that still
precludes a binary upgrade path.
Anything that decouples features without otherwise losing ground is a
win. If there are things A and B, such that A does encryption and B
does integrity validation, and A and B can be turned on and off
independently of each other, that is better than some
otherwise-comparable C that provides both features.
But I'm going to have to defer to you and Andres and whoever else on
whether that's true for any encryption methods/modes in particular.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi,
On 2021-05-27 15:48:09 -0400, Robert Haas wrote:
That said, I want to mention a point which I think may be relevant
here. As far as I know, in the case of a permanent table page, we
never write X then X' then X again.
Well, there's crash recovery / restarts. And as previously explained
they can end up with different page contents than before.
And in cases were we currently copy pages around, like creating a new
database, it could happen.
As long as its identical data that should be fine, except leaking that
the data is identical. Which doesn't make me really concerned in case of
template databases.
I suspect those cases could be fixed, if we cared enough, and there
are independent reasons to want to fix the create-new-database
case. It would be fairly easy to put fake LSNs in temporary buffers,
since they're in a separate pool of buffers in backend-private memory
with a separate buffer manager. And it could probably even be done for
unlogged tables, though not as easily. [...] I read
the discussion so far to say that maybe these kinds of measures aren't
even needed, and if so, great. But even without doing anything, I
don't think it's going to happen very much.
What precisely are you referring to with "aren't even needed"?
I don't see how the fake LSN approach can work for the crash recovery
issues?
Or we could use the special-space technique to put some unpredictable
garbage into each page and then change the garbage every time we write
the page
Unfortunately with CTR mode that doesn't provide much protection, if
it's part of the encrypted data (vs IV/nonce). A one bit change in the
encrypted data only changes one bit in the unencrypted data, as the data
is just XORd with the cipher stream. So random changes in one place
doesn't prevent disclosure in other parts of the data if the nonce
doesn't also change. And one can easily predict the effect of flipping
certain bits.
Another case where this sort of thing might happen is a standby doing
whatever the master did. I suppose that could be avoided if the
standby always has its own encryption keys, but that forces a key
rotation when you create a standby, and it doesn't seem like a lot of
fun to insist on that. But the information leak seems minor.
Which leaks seem minor? The "hole" issues leak all the prior contents of
the hole, without needing any complicated analysis of the data, because
one plain text is known (zeroes).
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 15:22:21 -0400, Stephen Frost wrote:
I'm also not sure how much of the effort would really be duplicated.
Were we to start with XTS, that's almost drop-in with what Bruce has
(actually, it should simplify some parts since we no longer need to deal
with making sure we always increase the LSN, etc) gives users more
flexibility in terms of getting to an encrypted cluster and solves
certain use-cases. Very little of that seems like it would be ripped
out if we were to (also) provide a GCM option.Now, if we were to *only* provide a GCM option then maybe we wouldn't
need to think about the XTS case of having to come up with a tweak
(though that seems like a rather small amount of code) but that would
also mean we need to change the page format and we can't do any kind of
binary/page-level transistion to an encrypted cluster, like we could
with XTS.Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCMWhy would GCM + XTS make sense? Especially if we were to go with
AES-GCM-SIV or something, drastically reducing the danger of nonce
reuse?
You can't get to a GCM-based solution without changing the page format
and therefore you can't get there using streaming replication or a
pg_upgrade that does an encrypt step along with the copy.
And I don't think there's an easy way to do both using openssl, without
double encrypting, which we'd obviously not want for performance
reasons. And I don't think we'd want to implement either ourselves -
leaving other dangers aside, I don't think we want to do the
optimization work necessary to get good performance.
Errrr, clearly a misunderstanding here- what I'm suggesting is that we'd
have initdb options where someone could initdb and say they want XTS, OR
they could initdb and say they want AES-GCM (or maybe AES-GCM-SIV). I'm
not talking about doing both in the cluster at the same time..
Or, with XTS, we could have an option to pg_basebackup + encrypt into
XTS to build an encrypted replica from an unencrypted cluster. There
isn't any way we could do that with GCM though since we wouldn't have
any place to put the tag.
If we want both a binary upgrade path, and a data integrity option, then
it seems like the only end state which provides both is GCM+XTS, in
which case I don't think there's a lot of actual duplication.I honestly feel that Bruce's point about trying to shoot for the moon,
and thus not getting the basic feature done, applies much more to the
binary upgrade path than anything else. I think we should just stop
aiming for that for now. If we later want to add code that goes through
the cluster to ensure that there's enough space on each page for
integrity data, to provide a migration path, fine. But we shouldn't make
the binary upgrade path for TED a hard requirement.
Ok, that's a pretty clear fundamental disagreement between you and
Bruce. For my 2c, I tend to agree with you that the binary upgrade path
isn't that critical.
If we agree to forgo the binary upgrade requirement and are willing to
accept Robert's approach to use the special area for the nonce+tag, or
similar, then we could perhaps avoid the work of supporting XTS.
For one, we'd probably want to get agreement on what we'd use to
construct the tweak, for starters.Hm, isn't that just a pg_strong_random() and storing it encrypted?
Perhaps it is, but at least in some other cases it's generated based on
sector and block (which maybe could be relfilenode and block for us?):My understanding is that you'd use
tweak_secret + block_offset
or
someop(tweak_secret, relfilenode) block_offsetto generate the actual per-block (in the 8192 byte, not 128bit sense) tweak.
The above article, at least, suggested encrypting the sector number
using the second key and then multiplying that times 2^(block number),
where those blocks were actually AES 128bit blocks. The article further
claims that this is what's used in things like Bitlocker, TrueCrypt,
VeraCrypt and OpenSSL.
While the documentation isn't super clear, I'm taking that to mean that
when you actually use EVP_aes_128_xts() in OpenSSL, and you provide it
with a 256-bit key (twice the size of the AES key length function), and
you give it a 'tweak', that what you would actually be passing in would
be the "sector number" in the above method, or for us perhaps it would
be relfilenode+block number, or maybe just block number but it seems
like it'd be better to include the relfilenode to me.
OpenSSL docs:
https://www.openssl.org/docs/man1.1.1/man3/EVP_aes_256_cbc.html
Naturally, we would implement testing and use the NIST AES-XTS test
vectors to verify that we're getting the correct results from OpenSSL
based on this understanding. Still leaves us with the question of what
exactly we should pass into OpenSSL as the 'tweak', if it should be the
block offset inside the file only, or the block offset + relfilenode, or
something else.
Thanks,
Stephen
On 2021-May-27, Andres Freund wrote:
On 2021-05-27 15:48:09 -0400, Robert Haas wrote:
Another case where this sort of thing might happen is a standby doing
whatever the master did. I suppose that could be avoided if the
standby always has its own encryption keys, but that forces a key
rotation when you create a standby, and it doesn't seem like a lot of
fun to insist on that. But the information leak seems minor.Which leaks seem minor? The "hole" issues leak all the prior contents of
the hole, without needing any complicated analysis of the data, because
one plain text is known (zeroes).
Maybe that problem could be solved by having PageRepairFragmentation,
compactify_tuples et al always fill the hole with zeroes, in encrypted
databases.
--
�lvaro Herrera Valdivia, Chile
Hi,
On 2021-05-27 16:09:13 -0400, Stephen Frost wrote:
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 15:22:21 -0400, Stephen Frost wrote:
I'm also not sure how much of the effort would really be duplicated.
Were we to start with XTS, that's almost drop-in with what Bruce has
(actually, it should simplify some parts since we no longer need to deal
with making sure we always increase the LSN, etc) gives users more
flexibility in terms of getting to an encrypted cluster and solves
certain use-cases. Very little of that seems like it would be ripped
out if we were to (also) provide a GCM option.Now, if we were to *only* provide a GCM option then maybe we wouldn't
need to think about the XTS case of having to come up with a tweak
(though that seems like a rather small amount of code) but that would
also mean we need to change the page format and we can't do any kind of
binary/page-level transistion to an encrypted cluster, like we could
with XTS.Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCM[...]
And I don't think there's an easy way to do both using openssl, without
double encrypting, which we'd obviously not want for performance
reasons. And I don't think we'd want to implement either ourselves -
leaving other dangers aside, I don't think we want to do the
optimization work necessary to get good performance.Errrr, clearly a misunderstanding here- what I'm suggesting is that we'd
have initdb options where someone could initdb and say they want XTS, OR
they could initdb and say they want AES-GCM (or maybe AES-GCM-SIV). I'm
not talking about doing both in the cluster at the same time..
Ah, that makes more sense ;). So the end goal states are the different
paths we could take?
Still leaves us with the question of what exactly we should pass into
OpenSSL as the 'tweak', if it should be the block offset inside the
file only, or the block offset + relfilenode, or something else.
I think it has to include the relfilenode as a minimum. It'd not be
great if you could identify equivalent blocks in different tables. It
might even be worth complicating createdb() a bit and including the
dboid as well.
Greetings,
Andres Freund
Hi,
On 2021-05-27 16:13:44 -0400, Alvaro Herrera wrote:
Maybe that problem could be solved by having PageRepairFragmentation,
compactify_tuples et al always fill the hole with zeroes, in encrypted
databases.
If that were the only issue, maybe. But there's plenty other places were
similar things happen. Look at all the stuff that needs to be masked out
for wal consistency checking (checkXLogConsistency() + all the things it
calls). And there's no way proposed to actually have a maintainable way
of detecting omissions around this.
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 16:09:13 -0400, Stephen Frost wrote:
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 15:22:21 -0400, Stephen Frost wrote:
I'm also not sure how much of the effort would really be duplicated.
Were we to start with XTS, that's almost drop-in with what Bruce has
(actually, it should simplify some parts since we no longer need to deal
with making sure we always increase the LSN, etc) gives users more
flexibility in terms of getting to an encrypted cluster and solves
certain use-cases. Very little of that seems like it would be ripped
out if we were to (also) provide a GCM option.Now, if we were to *only* provide a GCM option then maybe we wouldn't
need to think about the XTS case of having to come up with a tweak
(though that seems like a rather small amount of code) but that would
also mean we need to change the page format and we can't do any kind of
binary/page-level transistion to an encrypted cluster, like we could
with XTS.Trying to break it down, the end-goal states look like:
GCM-only: no binary upgrade path due to having to store the tag
XTS-only: no data integrity option
GCM+XTS: binary upgrade path for XTS, data integrity with GCM[...]
And I don't think there's an easy way to do both using openssl, without
double encrypting, which we'd obviously not want for performance
reasons. And I don't think we'd want to implement either ourselves -
leaving other dangers aside, I don't think we want to do the
optimization work necessary to get good performance.Errrr, clearly a misunderstanding here- what I'm suggesting is that we'd
have initdb options where someone could initdb and say they want XTS, OR
they could initdb and say they want AES-GCM (or maybe AES-GCM-SIV). I'm
not talking about doing both in the cluster at the same time..Ah, that makes more sense ;). So the end goal states are the different
paths we could take?
The end goals are different possible things we could provide support
for, not in one cluster, but in one build of PG. That is, we could
add support in v15 (or whatever) for:
initdb --encryption-type=AES-XTS
and then in v16 add support for:
initdb --encryption-type=AES-GCM (or AES-GCM-SIV, whatever)
while keeping support for AES-XTS.
Users who just want encryption could go do a binary upgrade of some kind
to a cluster which has AES-XTS encryption, but to get GCM they'd have to
initialize a new cluster and migrate data to it using logical
replication or pg_dump/restore.
There's also been requests for other possible encryption options, so I
don't think these would even be the only options eventually, though I do
think we'd probably have them broken down into "just encryption" or
"encryption + data integrity" with the same resulting limitations
regarding the ability to do binary upgrades.
Still leaves us with the question of what exactly we should pass into
OpenSSL as the 'tweak', if it should be the block offset inside the
file only, or the block offset + relfilenode, or something else.I think it has to include the relfilenode as a minimum. It'd not be
great if you could identify equivalent blocks in different tables. It
might even be worth complicating createdb() a bit and including the
dboid as well.
At this point I'm wondering if it's just:
dboid/relfilenode:block-offset
and then we hash it to whatever size EVP_CIPHER_iv_length(AES-XTS-128)
(or -256, whatever we're using based on what was passed to initdb)
returns.
Thanks,
Stephen
On Thu, May 27, 2021 at 4:04 PM Andres Freund <andres@anarazel.de> wrote:
On 2021-05-27 15:48:09 -0400, Robert Haas wrote:
That said, I want to mention a point which I think may be relevant
here. As far as I know, in the case of a permanent table page, we
never write X then X' then X again.Well, there's crash recovery / restarts. And as previously explained
they can end up with different page contents than before.
Right, I'm not trying to oversell this point ... if in system XYZ
there's a serious security exposure from ever repeating a page write,
we should not use system XYZ unless we do some work to make sure that
every page write is different. But if we just think it would be nicer
if page writes didn't repeat, that's probably *mostly* true today
already.
I don't see how the fake LSN approach can work for the crash recovery
issues?
I wasn't trying to say it could. You've convinced me on that point.
Or we could use the special-space technique to put some unpredictable
garbage into each page and then change the garbage every time we write
the pageUnfortunately with CTR mode that doesn't provide much protection, if
it's part of the encrypted data (vs IV/nonce). A one bit change in the
encrypted data only changes one bit in the unencrypted data, as the data
is just XORd with the cipher stream. So random changes in one place
doesn't prevent disclosure in other parts of the data if the nonce
doesn't also change. And one can easily predict the effect of flipping
certain bits.
Yeah, I wasn't talking about CTR mode there. I was just saying if we
wanted to avoid ever repeating a write.
Another case where this sort of thing might happen is a standby doing
whatever the master did. I suppose that could be avoided if the
standby always has its own encryption keys, but that forces a key
rotation when you create a standby, and it doesn't seem like a lot of
fun to insist on that. But the information leak seems minor.Which leaks seem minor? The "hole" issues leak all the prior contents of
the hole, without needing any complicated analysis of the data, because
one plain text is known (zeroes).
No. You're confusing what I was saying here, in the contents of your
comments about the limitations of AES-GCM-SIV, with the discussion
with Bruce about nonce generation.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, May 27, 2021 at 04:09:13PM -0400, Stephen Frost wrote:
The above article, at least, suggested encrypting the sector number
using the second key and then multiplying that times 2^(block number),
where those blocks were actually AES 128bit blocks. The article further
claims that this is what's used in things like Bitlocker, TrueCrypt,
VeraCrypt and OpenSSL.While the documentation isn't super clear, I'm taking that to mean that
when you actually use EVP_aes_128_xts() in OpenSSL, and you provide it
with a 256-bit key (twice the size of the AES key length function), and
you give it a 'tweak', that what you would actually be passing in would
be the "sector number" in the above method, or for us perhaps it would
be relfilenode+block number, or maybe just block number but it seems
like it'd be better to include the relfilenode to me.
If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid), and
CREATE DATABASE still works with a simple file copy.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, May 27, 2021 at 04:09:13PM -0400, Stephen Frost wrote:
The above article, at least, suggested encrypting the sector number
using the second key and then multiplying that times 2^(block number),
where those blocks were actually AES 128bit blocks. The article further
claims that this is what's used in things like Bitlocker, TrueCrypt,
VeraCrypt and OpenSSL.While the documentation isn't super clear, I'm taking that to mean that
when you actually use EVP_aes_128_xts() in OpenSSL, and you provide it
with a 256-bit key (twice the size of the AES key length function), and
you give it a 'tweak', that what you would actually be passing in would
be the "sector number" in the above method, or for us perhaps it would
be relfilenode+block number, or maybe just block number but it seems
like it'd be better to include the relfilenode to me.If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid), and
CREATE DATABASE still works with a simple file copy.
Ah, yes, good point, if we support in-place pg_upgrade of an encrypted
cluster then the tweak has to be consistent between the old and new.
I tend to agree with Andres that it'd be reasonable to make CREATE
DATABASE do a bit more work for an encrypted cluster though, so I'm less
concerned about that.
Using pg_class.oid instead of relfilenode seems likely to complicate
things like crash recovery though, wouldn't it? I wonder if there's
something else we could use.
Thanks,
Stephen
Hi,
On 2021-05-27 16:55:29 -0400, Robert Haas wrote:
No. You're confusing what I was saying here, in the contents of your
comments about the limitations of AES-GCM-SIV, with the discussion
with Bruce about nonce generation.
Ah. I think the focus on LSNs confused me a bit.
FWIW:
Nist guidance on IVs for AES GCM (surprisingly readable):
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf
AES-GCM-SIV (harder to read):
https://eprint.iacr.org/2017/168.pdf
Greetings,
Andres Freund
On Thu, May 27, 2021 at 11:12 PM Bruce Momjian <bruce@momjian.us> wrote:
Well, the code now does write full page images for hint bit changes, so
it should work fine.
Yes, indeed it works well and I'd tested it. But here I want to make clear
my understanding of the argument, if there is any problem please help me
correct it.
1. Why couldn't we just throw away the hint bit change? Just don't encrypt
them?
Maybe we can expose the *pd_flags*, we needn't re-encrypt when it
changed and there's no security risk. But there have many other changes
that will call the function *MarkBufferDirtyHint* and we also needn't WAL
log them too. We couldn't expose all of them, so the way "throw them away,
don't encrypt them" is not feasible.
2. Why can we accept the performance degradation caused by checksum in this
way, but TDE can't?
The checksum must be implemented in this way, but in TDE maybe we can try
another way to avoid this harm.
3. Another benefit of using the special space is that it's also can be used
for AES-GCM to support integrity.
I'm just a beginner of PG and may not have considered some obvious
problems. But please let me put forward my rough idea again -- Why can't we
simply use LSN+blockNum+checksum as nonce?
When the checksums are enabled, every time we call the
*MarkBufferDirtyHint* will generate a new LSN. So we can simply use the
LSN+blockNum+0000 as the nonce.
When the checksums are disabled, we can use these unused checksum values as
a counter to make sure we have different nonce even if we don't write the
new WAL record.
--
There is no royal road to learning.
HighGo Software Co.
On Fri, May 28, 2021 at 2:12 PM Neil Chen <carpenter.nail.cz@gmail.com>
wrote:
When the checksums are disabled, we can use these unused checksum values
as a counter to make sure we have different nonce even if we don't write
the new WAL record.
Ah, well, I think I've figured it out for myself. In this way, we can't
protect against torn pages...
--
There is no royal road to learning.
HighGo Software Co.
On Thu, May 27, 2021 at 04:36:23PM -0400, Stephen Frost wrote:
At this point I'm wondering if it's just:
dboid/relfilenode:block-offset
and then we hash it to whatever size EVP_CIPHER_iv_length(AES-XTS-128)
(or -256, whatever we're using based on what was passed to initdb)
returns.
FYI, the dboid is not preserved by pg_upgrade.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On 2021-05-27 17:00:23 -0400, Bruce Momjian wrote:
If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid)
Is there a reason for pg_upgrade not to maintain relfilenode, aside from
implementation simplicity (which is a good reason!). The fact that the old and
new clusters have different relfilenodes does make inspecting some things a
bit harder.
It'd be harder to adjust the relfilenode to match between old/new cluster if
pg_upgrade needed to deal with relmapper using relations (i.e. ones where
pg_class.relfilenode isn't used because they need to be accessed to read
pg_class, or because they're shared), but it doesn't need to.
Greetings,
Andres Freund
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 17:00:23 -0400, Bruce Momjian wrote:
If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid)Is there a reason for pg_upgrade not to maintain relfilenode, aside from
implementation simplicity (which is a good reason!). The fact that the old and
new clusters have different relfilenodes does make inspecting some things a
bit harder.
This was discussed for a bit during the Unconference (though it was
related to backups and major upgrades which involves replicas) and the
general consensus seemed to be that, no, it wasn't for any specific
reason beyond that pg_upgrade didn't need to preserve relfilenode and
therefore didn't.
There was a discussion around if there were possibly any pitfalls that
we might run into, should we try to have pg_upgrade preserve
relfilenodes but I don't *think* there were any actual show stoppers
that came up. The simplest approach, I would think, would be to have it
do the same thing that it does for OIDs today- basically have pg_dump in
binary mode emit a function call to inform the backend of what
relfilenode to use for the next CREATE statement. We would need to also
pass into that function if the table should have a TOAST table and what
the relfilenode for that should be too, for the base table. We'd need
to also handle indexes, mat views, etc, of course.
It'd be harder to adjust the relfilenode to match between old/new cluster if
pg_upgrade needed to deal with relmapper using relations (i.e. ones where
pg_class.relfilenode isn't used because they need to be accessed to read
pg_class, or because they're shared), but it doesn't need to.
Right, and we generally shouldn't need to worry about conflicts arising
from relfilenodes used by catalog tables since the new cluster should be
a freshly initdb'd cluster and everything in the fresh catalog should be
below the relfilenode values we use for user relations.
There did seem to generally be some usefulness to having relfilenodes
preserved across major version upgrades beyond TDE and that's a pretty
independent project that could be tackled independently of TDE efforts.
Thanks,
Stephen
On Mon, May 31, 2021 at 4:16 PM Stephen Frost <sfrost@snowman.net> wrote:
There did seem to generally be some usefulness to having relfilenodes
preserved across major version upgrades beyond TDE and that's a pretty
independent project that could be tackled independently of TDE efforts.
+1.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Mon, May 31, 2021 at 04:16:52PM -0400, Stephen Frost wrote:
Greetings,
* Andres Freund (andres@anarazel.de) wrote:
On 2021-05-27 17:00:23 -0400, Bruce Momjian wrote:
If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid)Is there a reason for pg_upgrade not to maintain relfilenode, aside from
implementation simplicity (which is a good reason!). The fact that the old and
new clusters have different relfilenodes does make inspecting some things a
bit harder.This was discussed for a bit during the Unconference (though it was
related to backups and major upgrades which involves replicas) and the
general consensus seemed to be that, no, it wasn't for any specific
reason beyond that pg_upgrade didn't need to preserve relfilenode and
therefore didn't.
Yes, David Steele wanted it so incremental backups after pg_upgrade were
smaller, which makes sense.
There was a discussion around if there were possibly any pitfalls that
we might run into, should we try to have pg_upgrade preserve
relfilenodes but I don't *think* there were any actual show stoppers
that came up. The simplest approach, I would think, would be to have it
do the same thing that it does for OIDs today- basically have pg_dump in
binary mode emit a function call to inform the backend of what
relfilenode to use for the next CREATE statement. We would need to also
pass into that function if the table should have a TOAST table and what
the relfilenode for that should be too, for the base table. We'd need
to also handle indexes, mat views, etc, of course.
Yes, exactly. The pg_upgrade.c paragraph says:
* We control all assignments of pg_class.oid (and relfilenode) so toast
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
* While pg_class.oid and pg_class.relfilenode are initially the same
* in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
* FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
* be the same and will match the old pg_class.oid value. Because of
* this, old/new pg_class.relfilenode values will not match if CLUSTER,
* REINDEX, or VACUUM FULL have been performed in the old cluster.
One tricky case is pg_largeobject, which is copied from the old to new
cluster since it has user data. To preserve that relfilenode, you would
need to have pg_upgrade perform cluster surgery in each database to
renumber its relfilenode to match since it is created by initdb. I
can't think of a case where pg_upgrade already does something like that.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, May 26, 2021 at 05:02:01PM -0400, Bruce Momjian wrote:
For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.
As stated above, I have no plans to continue working on this feature. I
am attaching my final patches here in case anyone wants to make use of
them; it passes check-world and all my private tests. I have removed
my patches from the feature wiki page:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
and replaced it with a link to this email.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Attachments:
cfe-02-internaldoc_over_cfe-01-doc.diff.gzapplication/gzipDownload
�
C�`�cfe-02-internaldoc_over_cfe-01-doc.diff��Zmo�H��<����F�^,;N&k�
b'��;I6�� �C�"[����e-����Tu�����x�����z��o�bc�b{�X�xz6v�������|��[�en��y��������y_������g3������|~��ssY�����o���,�����9k���^����7U:1���_�
�OO����g�������l>�n��o.n���|�������x����i�7��m�����U���������k�M�D�t:�L]��
��<9��]����.^��2��m������'f�O~"sb�i�L����%�����������(��t�4��*m�=�����������)gN���ggQ�'�
�?���=s��=�ya)�9N��q�fYV�����P�dn�'
��e4~��5Tj����\�C�h����D�h�y��&I+��vPx�X(��mYUc�m
�^��S�M �u\�eS��0
g��%�xYT&�
���c`��.�x�68��\4�~��M�'v�px��&�#d6xljp�Lb
����
6l�1��m������fm�������r���4!����r@@��J+�lG�l
�"B�4_���������m��-���M������k������g�:��3��$u��u]�+[��Y���
�!�Y2�-�1������"~����7GCx�d�,�% �yU��Y�*�Z�U����fG�m�n������b��������>�e^
5
�5�"�'�9i�&�>p!������&��Y�.P�O��X�7�
��C
o�6K�c��rM��;'
��W 9�Y���-�X\M�}�.R�u��J���p��������,MD[)��2��.����F!�isJT6v�DTP�{j�����j��I4��[��jJUg<�w�������������U�X�����<���80G�O���
��i��7t���M���3^�D��z�����o��5)�������&u\��Pi-Yeb����RH����J��<4���������_���l.�T��k���gc������h������6��$�c]r��7/4
�F\J�MB���1#7[�&��[$����gA�m������/���4vG3�!�tH��E
x�P���U��">�}4�G������hn�9�HlT���K[
-O� ��`���Q���>&)�rO%��v���m�< �
�����=G�D�s`��k���
u����8}�5T �K!��i�,LQ:~��6%�!�R�|�
�]�.f��`&�k
&3��z��3P��*Q��S���oa7�|Y��
.�{6CUg1���o�MGQ��<F^�V��b 4�_���1Xi��<?3k�@���8���l�����lx\��T���O���]M�J��TZ(�>�����E}����$�������� '���L�������(���l)t��< Z���'�Fd�����fU����K,�!�_�`t��|`
IG^
�V
����'�<J��H���j�k����b%��T�'�o���0��^�����_ ��iqtdFm�1���E���
�J��
1��RD��B�����
3'�� �
����_^_|�8.W����q��9�4��i��=E��g��
��L�?�$��DW�������A�
X\�()$�r�F��������Uv��)H��� �k&+Qtn�R������E����4o������!h�+�Z7����gJ
L�*����_=^H�_��%��mbTj(U?dra���Q����
X���!l�����%1w�%8F������ �*�z����I����Rt�����
�a#,��D4�^O����$oi���2�l,�.�Z��>
4~i,�T ��o���$e9b=�6k�1S�j��rC�#$�9��3s
,���
*
,&7�$�HA��������.� ���)$��-�����
��&;h���"|x
�D7��9+����(!���r13��<��/��T��������uHU��ad7�y��fGRk��J�G[���Q��TF������h
�
��&�5�
8m��X������#T*���� ��>o�
S������B}�\��~ :6�5���t:�C�{�����������[��2�I�����X�!�S0
������_�j�-nY����4�����X���6�%
�h�t�0D��! 7���p�aP�
�Q�xK���G" Q��3��}�\���"�{����`��q��:o7
��h��=����<J����
�=�
o�l�<��LMX"� �{�@��@����R��^��t�M������� �o>G���i����8���vQ���nf��������;�������<:�k3��/����vV&K��Y�
���sy���tg
2���&�0�
���������o�S�
D����[v�qZ��r=��Bf� ��N���T��� �_t������ ZkU�N�@��6m��mO^�d��A@��GG0<axfI�p�d�o�{�6L41��O�:�at2�����Db�����2I���LSlH4$!.��k=�Wfg
\� ��������)_I��+�;{E%�����=�
\�vs�H
��l�l�Z�5$ #w���
coe�����]�����%&�QC��Q�>�`�"�UC�������om��.+����hh��{�t�p�\B������ ^2v�
�(?2�P��o�[{
f�Zx�JY�����Ry�"�EJ?����p�:5����)�=h7R?y>%�����1�\\�����s�E���V�"����n>��
m
t�!��[�����k�r�&<�-D[�� �g���|�JH1YN�J<^O�� Kv$iqI���Y�x��$��HE��n!���
Rz/�#C����#��$
+��~�c���TQ�8����C��97
R��3�L���g�����c��?tv��;�#Y?��)��Y�r���{C��(
5k��s�fY�*W�V2�1haM���T�$��a�>eJE�Z
n��������s
����".t�\��`X@�]��~��~����4�m61�>]]|�2��7W"�E���X/<���{)QGR+����@��^"�xp��� h�O��63�\���`;�H{!��r�(
>q�^�����Q0@�L�6�w�\���Bc ���&{W�I�X�
���\U6q
2I+��H��z��{]�8<��?��r�W��
r�&e�1�������
�32�����<���Va~&f�����J�\ll�����Sn�������V�O�^�P�OK���%�i{�}4T5�"�m����W���B�{��xQ4.�|��e����/
��w�g���G�R�3�?���n��Z��.
�� m�n_qin����
D����D�!4����l�;�S���D^�j2a��hi�R����L�
;fs��B���7���@:�'B����`P���s��d�2�
Z"
��L�}V��0�PKG��V��0���zQ��j�G��k�C���CB���)1��s����
[�?M���,'�
�
��N�u Q�%��A������_fa��'��l�HMHt�k8E�k���-�b�������#�J.?���l�LM!M�i$d��`���h|�i��r���
?���;���r��e�v�B�6�R
���TI��������[$}����=�
�3���v���6"C��n� H>B�>]��x������WW�����W >Op�
��<��<�E2��tP�s����4L�w/"n@0���*���|����Tm�:9��_����O����7fs����76��B��!
*��3��R�XauoH����Pj
�8�G�]��_�dW�=I~���XIb�
�|]���Q-��h'z!��8���������z=�
-
�����n`�
(> �W��\��?k���Toh�}�N����w
�P.���0'�0}8{�
T�0�����{����p���.O��T��BJ��'6]H�����0�O���?[���
9�3d��S�:�)�o�t�!���!�����hr #YY��
�'��l/�
��O��n�����Z�/%l��Y"�b��
�ez��(�����z�)����{�;������N�xrph�"��+�����*���2����L��4BQ���{���2
���:�����,�:
?R���BPN;�;�1Y%�
}��]'
g��@�=�?���',
.��~xE�)��[h��?c���4C�
}(��!C�l���s�}��?�������
���Sc������G< ����Y�(�F
�����i����u������
`%�O4#�V����Tg��+3�{������nvR���
�C ��+���$#<
�S�
/�����3]J���JD)k��8�M:L�~Z�+&�e)�sY�n���x�\��|���"�����ZA��i�\4��Fq���
0��4%2�U@'��M��
��/���7���Q���i�:Q�4(�@b?���U���!�d �b��v�NY��>���r��E�^W�V�E��_�}����;�>���e��wB
V�������|������yi!�
`�����
�y<m�~�&
dD7���a��+�F�� GM .���n��5���`5�w#�jm���\�}nH�sS��R�?��A%I���o��Y� d���7p�-��4�����a��!�z�{De~:
(
�����������=Q�9+'&i��p��2<-4i�c�}m��^������0d��m�4 L[:x����a(jL�%�f�K�~�g5��J�S�Y4�?���g'Q���ozbm-��cfe-07-bin_over_cfe-06-backend.diff.gzapplication/gzipDownload
�C�`�cfe-07-bin_over_cfe-06-backend.diff��<kw�����_���D�EI�
�
���G��_k9M��9< I��H�;�i�����S�$����=���H�3��g0���� ���� SU�=��;�����tw��9�Z���
�
NT�\�1��;������n����f���G�I�Z�!{c|�y.
�Qp�yLC�KN}�A�
������J��n���m�7G����w�����G�~ ��)�
el9�{�|�?��15��c����3b���nn*��IL�h>�?��-�MZ�c�����$��!�
�
��,����
|�-��j�T-���OM�GK�6.)�����gA��48
H O � �������#�~�41
<����k�4��G�
� ��/m�W)b��*\p6>P;�9R��g�c�&����+����_!��2f��+nVt��������5^����
.�7��rD�Z�Sr"��r���,��[�"`>hJ �
G���: ��:Sf6H��!��pkA}{
T�CLf3�B���4���(��
m-�����M�+�H���t����n6�N����tJm���.��
,���U�~��(j��������7�B�F�u�z��R<����^����
��`3~sO}| S�Gx��-�g_���Q�S���`�W������:f�|�
�t����
'0N�� �����`O���b�=�y65
��6
���G}:g0�v ��2������x�N��*����1�V�HngV@�jx��&�'��@9��IDB����Z g�3�u��3;�4��~<���0��
3�-gJ��d�Em�_\
���B�S����+|dd�Hl�A��_�FF)�[|
&���A3=z+w���m�J�v,�!,e��*I1- ���?��]9x����\%
�"A���.�'��o��(J*
l}����/M-HO���YE��.�}����|O��j�
%
�Q��H���,]{O������>C|����'#U ��3�#t�Mhd���r�Z:����z�t�[i�b��Y�-�����n���p�z��������J�n�O�32/�2uh������*A;�x
�
n�)�@#��OF�����[I�h]�<:��:�c���h*����PV16����`��0�p��� ���j�:r=�PU� 7@&<
v\��$vxE|�g�,#Y3��(�b<�m��i����'U��3`�pV�!����o%�oW��(�8l���*�;^��I��ey*R��K�����t�����4F��v��Q���tEJRU���q�
p�
4V��=�O!]s-�������A�<0�`�|7��9�/�"���U��h8+���
���d���ks,��V��)��!�w:��a�qf���E�L�^D���
����>���D.1� ��4���7��5�'���T�5)�o�k�7���E�����rj�i����K�����p�l2U�3s�-�A�4��Y���#�L;
����s��o�t!��K��+ uA�K��U%��.���5�X��S��O$z]pO��v�1DQ��;�a��~+
�O"A
�?���
�p{�f��r�2L��[j�I� ���i�,WMl:�t���/4f<�rm3�O���:�r2lf
Yvcf~�RK���d��x���_�~lb��=
:.q�"���!�����qIV�r6!B1�O�j�y8v �WD�
�TV�CV!ciZ����2Td���%��9�+>#mb�8��S
t�
��l���$)�WBD|��������!�B�?8��,:�~�1�
���*'M���\��B
`k<Yj��M���|J"��esT�P�}
�
�`0�� qbR�e
���)��k�W�}�yI(^�T��8����N �
U�)A�?�pZ
�ye~�8I��.�t���
i���3�@e��U�kX��Z�(�w`��:�
1����=M&���zu�
��AF�%u2b����B��.c��[�
���|���@TB3/RH�)������l\��������!�q���T@5SE5#Q�`h��|�7 �}X�DLHA����L)
-;�K0�l>� �4Wd�B,����MN7�.��U#R
��fj*
���f�3V�l����
�P��Q��~�
~c"�I~�
�_`
������m�s����r�@6]�_=�
a�p���o/����~:��
�1.���� �!3���cN�,�# �(��5T��n�����hT��kCp`��:d�L�
�W��Q
6����m�$����
�0�8�#:VW����qTm=~
r��i����%N�a
��\�=?OgXN��R_�m���g��_�O������\��]]�'��^
w:s ���!8'1�y�C�K�!��X�C���3?
�� ����}�p��|�0N�Q2�H����
�� �3d�7E���^"2q�
� /[�=���=�����A�;�
Dc����~�$�����]k�g�)lA��1����@�
Dz�o��d���N2�|t������Z����������}�w�l�C���
��fbMc�{�2�`�
G� 2���R����H?�����./G�x�lqzml�
N�@o���/.����T6�����=
���5� ���M����Q>�� ���G�� ��f���>�6��Q��[�.g�\�Q =��E�G�N���s�S�e���>2��
�����'�*�O��]RK��l����h�^��'���6�������}�Z�������9��|U��P4 imM2�y��)��!5t�of
=�����P59��7� �������Nx�q,����y�Aj%)
y�,xQ�)� ���g�9��^`
��
�VEF��g��@�c6�E�=!���m�^�/�3���F�����
f��UU�Y:
Z!�j@�
��CW����g"��5��d�87��T
D�WxY�`�-�d������Cya��.�z���@��� g#������������[p�W�g��k���P�EmT���<��N>
$�VO,����W#���y�$u��u�o�kK�,�
?�z���v�]�7�x�b�B��^
�|hb�V�]T[>��&�
���a�q4�pM���:�I��
���R6�_�G������+����54m5m���x
t���2�)B�R#K~@
�f"�F��y���C#xJ2<�Z��S[,S�~c���z�!mtD
J`���2�0��=����%pEq\������k�X�I:`�$�����[�g�' �qIl`�;"�vx����K%����^�b+�� ]�m���}
��a��t�z=�'D� F��\�
��F�4xyx�(�e�,8�������,hd~J
��/��Z���^~��,
���
� ��H�(V���P |��:C���H���/�
N�j������ �;!��H�
������� ������9G�'^H.��~�)�-���'+��=���8�<FQ�^)J��V6���F#"a����kO�,2� �����a �����I�'a5��Q�Ea9a�4He{����;��
����C~~srt{u��<�~{��X��l9p���r�B��F��t $�D��0���x������%�
�%�K�����P �gH@'��Uu�
���~�(������r����d��'��(�w�=
�WA����u�"����f�Z�@F
H�d�� 9���.���"��e
l���� Ek
)@��T��V��Vj|x�[�7�s������g�.�x�r�s�\a����� a����2��qt��6��
����������wz��$Do�$��Gx�?��������%��c`
fw����d�
�>E
�|�^����<�����d0����@���hM
�����eGC�,�K�X���Z&�o��#�NW���;P�6
��������GW�Woo�cq�cZ��p)�/�t��{�VnxS
�~�� ��� i�mr����]H.�)2�y�T \�
��qe"��l����3���B�@�HM�!��Z#{�\�HF��B,`���ec�D���Iw"���x��biy%�~�1����P������TlVBT�� $iI>I�<���,�t�S�8�Vm$S�(OO�],�IC�������R
�E�������O5z��_4��0�/DQ^����L���e+T-^��P���8�"�;���]K�S���dj�;���Mr^cPx�A5�
|�_���!3��%>d��(��xn���Xsz%[
��q��_Z�l��@]#d�
��b�����a���^��)
a��3�
��Aj���������|��
F��ow����s��D��s�I��m[[��}��h��Db�h��"��=
�����v��
!��g���
��
�
m���l��|�+*��eT|7�o���� k*���|nK���-�v��7��O�|������,�7O��~�gP�@�Sy+V`
V��^T�m��J����������+bmoo��GC
��uc��� @�FY���-��/
[������5+�X�X�S�mX�|�1��D��
������ I�h�r
!�/��|�q4��Q,9��Jy��Y ���/�:jg�e���s(Q��������1��/[U�j�2�x�W�\n���E�
)���R���
b!��W��A�����R~
��
�p�:�������ZUB�{�0
�<�1�e���+��I��G\c�)+�1���q�E2� .\���
�}1Tu�VH���f��
�%��Wv��t�r����R���9��x�ahEm����/V_2�Y�v�)����?������'��o�ohe���<�1�+��I�Y���e]������������e~�����<i�L�cL�=:e$���o����'��Z��vT������
'pk�.n���a\)��/�Zbny ���H�
L����2���;�����N���N�s�m6���(e=�+�uZ1���j6�Wy/���
%��b�K<�>�l�\������[�2Qja�%���6h��
������
���bZs����K����k�a
�
R�Dp"��v�u�8�H��Td��D?\(|�����B�'SQ �,���f�m!?����wH>�V��?K3����3
�L��(����o�����,�E�������@cG2;0j`N4_hT���b���������e������BXv&&�Onl�w��o�����8c4�Bl3���@>�sOG�����I� ��;��>��}���'DjuEU���������xC�KrB^������7�,S7�tl��S4�q9�����������������_?�@��o�7���l��L��?����/���?��@�NW�K$��f�A@�
����K���H��� �^p\]0�P��|��!YU1L�M��~����i�M���I
#i��i���!r�C��#��.�S�� ��c��C���E���82&�
����o6��!��.��=2������|6"���s!
r�M��%��<�H�>��F��u����H�2�����Z�V����Y
ItZ�
��� ���A�78���[�������;�X�
7����L��� �����P�R���`�K3������o\Z�-�@@Y������.�������H?�<���8�|�x�
r}�s� V��pA~�3�l��<`{�#6PK��"�~���!���{���C��y���,f!�c�
����$���B�`*W1 /���
��1�.�]�k�O�O���?c|�)^} ]
7O��OuW�������O���������aR
8
�
�l�T��J%�2h�����)�����.K�
������zzG�~}��=��\�t�yr=<��l��M@v/I,����%p��e�$f�D�3b�6c����&q��{�1S��+�BA�����3��_B9!z[�^`$$V������~�w��nb%%o��������� ���i�\FN�!OQ���
���
��$�
�n�Q����>�7��HVH+�yA6�������~�n
B�~�Cm��j �����YODxv�
����n'�S�z8����VA�e"��aZ�s�j_�K�k�
�{;�7po :�#r^M��)�Va29��~�t�-�y�X����������!b^8�+�)�{��Q�z4�9 '���p
<�P��9���pv��|uF^� ������4 ��W�-w�F����G�a�� ��W���3�<��~=�
kjc�V�>7��%[����y��u��3��0�����7
��Bb������fj�-�
� $[�
�]-
��
�M���y��1Mq�Y��~
�-�x� ����5��G-�Dq�Uh�<X��`1��op=&���v�����52��fbl��8o<����#U��)�-XT���e�i���lr,����hZ"*���n��#`��^�o
�����f95���4��F��3k�vk�N�a�V�c6s}i9m�y�r�H3l�m��6[������09�� �Y�?�9�S�H*L8k�(��+�
�,���k*]�����6������ �Ae�o<q���CPZ�o��Y`�p-}N��\$n0��q�*�_�������k�\���l�Tr�����N�g��~���n��z���l�T+"E�07FP���!�%�0�+'��^�g���<b��=\h��j��
�LW�h���9w�Y���������" S{�0�W�k���
6W
;NH1�t�
P�J�5>��i��� ������)��{���=�#�5��Z��KmNW�\w��SKGES�y���6�
�+����
��������V��I�
�Q�F������c��b\I8HGX�E�
FDa�OE�������jIT8"�� -7��+�!|
�Y�P���������o��F5[]�c�L�V3-��O[f;?
�ndm�� �����i)h3��6g?�v��t��2�����Y��G���(bX�� ����lx��X8��������K$z1�qN��X_837��?�b7�v@�ye
��1���z��(�]��a ����9�
��t{��w}�c=&���'���t'm
�w,Jv�vF��9l�KC�E�:XYK��:
O2RZe6`%!A�J&:���p�-j� ��
�Zxb���Y��c�":n��������h,����C���
F+w����W������O��c������X��Tv��}�m����G�B@��(6I��6�K|,�O����]��������v
�M��I��Tgi{�4�����x0k�{x� �js��u�����0��]��,�/�
�J�-}� ��#�%D��ys3>���:
STY;�
]
<��Jn�z��X�W�2��Q���ph�H���a�(Ed�c���N�V�oy:��x`���Rz�|�mB\��_ ���A�,*
�p8
�tt�$����
,d&������1�F��dR�
����Z�|�
4�C��)V�C
�D�<e6j�`�
��V+�A�RQ�+'�d����QRQ��aZZ�b`��k��������
�G���{�t ���+��;��f
- :�I"���:��9�5��Z4J��v����Z1X,����T��R�s���~���E��;��q�����������|5+�J.m]�h�[m��R�+H)q�kL��~���:a����)������%>giv�#�g1$�m�lR)�P*��Ee���1I.~5l��;`��<7Eu4+B�$��
������XkR��pDCD#�1�� ,���{��2B�����ToE���Y��_W����W
"\} �C/*JV��.�C�� -���,S�P/w�`
�g�
�X��~@��@O��q ^�,BP�3
+��
<���"rWc���F�~_��
fOb���)�X �<����8$���K%��r���b�;`w�� ���y�����f�F"|!#�=���@���D|/:'����aE�x�
�9�@�\�UQ4���j�i�k�r�~`�
vB#�jw�J�_�;I��
V�$�n��/]���I����g��=�����BBW)����k��� �0��������]��J�������P2���e#�����1�����7���0�stu3
]������
����G�[gg�G�=����5�BuS���%�xx=�p��S���AM�u
B���g�����pV��<������v�w-�8K�
�<o��yo��g�6Vl��r� ���@�r2�w��3�J���S�A�yh��u���ir��`�Gd�J�ckE�S�KR����������� %�h>���(�8\�B �����
k�
��T2].C�O��� �B��~�
qg��p
�iT�]�J�N�D~�T8<W8T�7����v7���w��Z����\P
���c2�/^�4 ���T��j����j�j���T�]}� �L��k���\?�|��X��� ��z����r���L���?�|�4��
kXi &��=Q��=���u�F��
��=��O�����I�%���nK�������`h(���_x{��s�?o��]���aL�v��bd�k�Fc�9����!�Zp�5�S�Y\�r[\l��^� *����R D��7�:9d�Kp.�\�=�-���o�(���1 I
��r�� �.u��.uu��%�o��E��4{*\`�3���a���r���t����j����e��E\Y4�2
�
�����m��
������!c^��X��)���V@`RF��9���S���
C#2����������~F��?�]A������� 7��o�8�o���q
�Y���F���:�Z�o6�N�oY%O��\����8������|^s������lc<��s��n�/e9J�� �Hx+���=�.���dd��������-j�0�m��l�cK��d�
;�COR�
��K
l!�f<i� � Y��"�S�>�J�Sf�x���
{��-�
��*��+�r
�T������"��"���C�B�{����Jw&�{,�=�E��2�KW��"�N;��ho�:��
�G�d��cM[9�
��9�2"��]f��� "U8�Jz��� �[
*�R&y���P��*�qj27�����3���+S?g�T����=�
:`�5��F��Vr�aHA��jS�)���
X`���
��b���Hy
"q�A7W����"��e�
�Ls�"H
��yd���%�mU�J��b]�G�:�8��Y���OUO�qJHz�Wit� y+`~��*�d8�2
k��s
5�JD��q���%z�tV�G����T��S������0���/��K��~�T�������������l����zyr
���W�J"��&}�s���;$~Ec^���;h��
U���TU���Z����;X�!����cfe-11-gist_over_cfe-10-hint.difftext/x-diff; charset=us-asciiDownload
From 306375eac1928cb4e29770c02359e096050d0535 Mon Sep 17 00:00:00 2001
From: Bruce Momjian <bruce@momjian.us>
Date: Fri, 25 Jun 2021 16:57:05 -0400
Subject: [PATCH] cfe-11-gist_over_cfe-10-hint squash commit
---
src/backend/access/gist/README | 10 ++++++++++
src/backend/access/gist/gist.c | 21 +++++++++++++++------
src/backend/access/gist/gistbuild.c | 9 ++++++---
src/backend/access/gist/gistvacuum.c | 18 ++++++++++++------
4 files changed, 43 insertions(+), 15 deletions(-)
diff --git a/src/backend/access/gist/README b/src/backend/access/gist/README
index 25cab0047b..6b1f84634f 100644
--- a/src/backend/access/gist/README
+++ b/src/backend/access/gist/README
@@ -461,6 +461,16 @@ value. The page is not recycled, until that XID is no longer visible to
anyone. That's much more conservative than necessary, but let's keep it
simple.
+GiST and Encryption
+-------------------
+
+GiST uses LSNs and NSNs for concurrency. This means that unlogged and
+temporary relations also need LSNs. GiST has a mechanism to assign LSNs
+to such relations, but sometimes uses fixed LSNs and or calls
+gistGetFakeLSN(), which can cause duplicate LSNs to be used. Therefore,
+when encryption is enabled and fake LSNs are needed, the GiST code calls
+LSNForEncryption(). See src/backend/crypto/README for more details.
+
Authors:
Teodor Sigaev <teodor@sigaev.ru>
diff --git a/src/backend/access/gist/gist.c b/src/backend/access/gist/gist.c
index 0683f42c25..5ca5f17db3 100644
--- a/src/backend/access/gist/gist.c
+++ b/src/backend/access/gist/gist.c
@@ -501,13 +501,16 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
* we don't need to be able to detect concurrent splits yet.)
*/
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
recptr = gistXLogSplit(is_leaf,
dist, oldrlink, oldnsn, leftchildbuf,
markfollowright);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -568,7 +571,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
MarkBufferDirty(leftchildbuf);
if (is_build)
- recptr = GistBuildLSN;
+ recptr = !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(rel));
else
{
if (RelationNeedsWAL(rel))
@@ -586,6 +590,8 @@ gistplacetopage(Relation rel, Size freespace, GISTSTATE *giststate,
deloffs, ndeloffs, itup, ntup,
leftchildbuf);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
recptr = gistGetFakeLSN(rel);
}
@@ -1665,6 +1671,8 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
if (ndeletable > 0)
{
+ XLogRecPtr recptr;
+
TransactionId latestRemovedXid = InvalidTransactionId;
if (XLogStandbyInfoActive() && RelationNeedsWAL(rel))
@@ -1690,16 +1698,17 @@ gistprunepage(Relation rel, Page page, Buffer buffer, Relation heapRel)
/* XLOG stuff */
if (RelationNeedsWAL(rel))
{
- XLogRecPtr recptr;
-
recptr = gistXLogDelete(buffer,
deletable, ndeletable,
latestRemovedXid);
- PageSetLSN(page, recptr);
}
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
}
diff --git a/src/backend/access/gist/gistbuild.c b/src/backend/access/gist/gistbuild.c
index f46a42197c..f2aa2a6fd2 100644
--- a/src/backend/access/gist/gistbuild.c
+++ b/src/backend/access/gist/gistbuild.c
@@ -299,7 +299,8 @@ gistbuild(Relation heap, Relation index, IndexInfo *indexInfo)
GISTInitBuffer(buffer, F_LEAF);
MarkBufferDirty(buffer);
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(index)));
UnlockReleaseBuffer(buffer);
@@ -451,7 +452,8 @@ gist_indexsortbuild(GISTBuildState *state)
/* Write out the root */
RelationOpenSmgr(state->indexrel);
- PageSetLSN(pagestate->page, GistBuildLSN);
+ PageSetLSN(pagestate->page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(pagestate->page, GIST_ROOT_BLKNO);
smgrwrite(state->indexrel->rd_smgr, MAIN_FORKNUM, GIST_ROOT_BLKNO,
pagestate->page, true);
@@ -573,7 +575,8 @@ gist_indexsortbuild_flush_ready_pages(GISTBuildState *state)
if (blkno != state->pages_written)
elog(ERROR, "unexpected block number to flush GiST sorting build");
- PageSetLSN(page, GistBuildLSN);
+ PageSetLSN(page, !FileEncryptionEnabled ? GistBuildLSN :
+ LSNForEncryption(RelationIsPermanent(state->indexrel)));
PageSetChecksumInplace(page, blkno);
smgrextend(state->indexrel->rd_smgr, MAIN_FORKNUM, blkno, page, true);
diff --git a/src/backend/access/gist/gistvacuum.c b/src/backend/access/gist/gistvacuum.c
index 0663193531..f783edd627 100644
--- a/src/backend/access/gist/gistvacuum.c
+++ b/src/backend/access/gist/gistvacuum.c
@@ -174,6 +174,8 @@ gistvacuumscan(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
vstate.callback_state = callback_state;
if (RelationNeedsWAL(rel))
vstate.startNSN = GetInsertRecPtr();
+ else if (FileEncryptionEnabled)
+ vstate.startNSN = LSNForEncryption(RelationIsPermanent(rel));
else
vstate.startNSN = gistGetFakeLSN(rel);
@@ -353,6 +355,8 @@ restart:
*/
if (ntodelete > 0)
{
+ XLogRecPtr recptr;
+
START_CRIT_SECTION();
MarkBufferDirty(buffer);
@@ -361,16 +365,15 @@ restart:
GistMarkTuplesDeleted(page);
if (RelationNeedsWAL(rel))
- {
- XLogRecPtr recptr;
-
recptr = gistXLogUpdate(buffer,
todelete, ntodelete,
NULL, 0, InvalidBuffer);
- PageSetLSN(page, recptr);
- }
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(rel));
else
- PageSetLSN(page, gistGetFakeLSN(rel));
+ recptr = gistGetFakeLSN(rel);
+
+ PageSetLSN(page, recptr);
END_CRIT_SECTION();
@@ -657,8 +660,11 @@ gistdeletepage(IndexVacuumInfo *info, IndexBulkDeleteResult *stats,
if (RelationNeedsWAL(info->index))
recptr = gistXLogPageDelete(leafBuffer, txid, parentBuffer, downlink);
+ else if (FileEncryptionEnabled)
+ recptr = LSNForEncryption(RelationIsPermanent(info->index));
else
recptr = gistGetFakeLSN(info->index);
+
PageSetLSN(parentPage, recptr);
PageSetLSN(leafPage, recptr);
--
2.20.1
On Sat, Jun 26, 2021 at 2:52 AM Bruce Momjian <bruce@momjian.us> wrote:
On Wed, May 26, 2021 at 05:02:01PM -0400, Bruce Momjian wrote:
For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.As stated above, I have no plans to continue working on this feature. I
am attaching my final patches here in case anyone wants to make use of
them; it passes check-world and all my private tests. I have removed
my patches from the feature wiki page:https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
and replaced it with a link to this email.
The patch does not apply on Head anymore, could you rebase and post a
patch. I'm changing the status to "Waiting for Author".
Regards,
Vignesh
On Wed, Jul 14, 2021 at 09:45:12PM +0530, vignesh C wrote:
On Sat, Jun 26, 2021 at 2:52 AM Bruce Momjian <bruce@momjian.us> wrote:
On Wed, May 26, 2021 at 05:02:01PM -0400, Bruce Momjian wrote:
For these reasons, if we decide to go in the direction of using a
non-LSN nonce, I no longer plan to continue working on this feature. I
would rather work on things that have a more positive impact. Maybe a
non-LSN nonce is a better long-term plan, but there are too many
unknowns and complexity for me to feel comfortable with it.As stated above, I have no plans to continue working on this feature. I
am attaching my final patches here in case anyone wants to make use of
them; it passes check-world and all my private tests. I have removed
my patches from the feature wiki page:https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
and replaced it with a link to this email.
The patch does not apply on Head anymore, could you rebase and post a
patch. I'm changing the status to "Waiting for Author".
Oh, I forgot this was in the commitfast. I have marked it as Withdrawn.
Sorry for the confusion.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Fri, May 28, 2021 at 2:39 AM Stephen Frost <sfrost@snowman.net> wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, May 27, 2021 at 04:09:13PM -0400, Stephen Frost wrote:
The above article, at least, suggested encrypting the sector number
using the second key and then multiplying that times 2^(block number),
where those blocks were actually AES 128bit blocks. The article further
claims that this is what's used in things like Bitlocker, TrueCrypt,
VeraCrypt and OpenSSL.While the documentation isn't super clear, I'm taking that to mean that
when you actually use EVP_aes_128_xts() in OpenSSL, and you provide it
with a 256-bit key (twice the size of the AES key length function), and
you give it a 'tweak', that what you would actually be passing in would
be the "sector number" in the above method, or for us perhaps it would
be relfilenode+block number, or maybe just block number but it seems
like it'd be better to include the relfilenode to me.If you go in that direction, you should make sure pg_upgrade preserves
what you use (it does not preserve relfilenode, just pg_class.oid), and
CREATE DATABASE still works with a simple file copy.Ah, yes, good point, if we support in-place pg_upgrade of an encrypted
cluster then the tweak has to be consistent between the old and new.I tend to agree with Andres that it'd be reasonable to make CREATE
DATABASE do a bit more work for an encrypted cluster though, so I'm less
concerned about that.Using pg_class.oid instead of relfilenode seems likely to complicate
things like crash recovery though, wouldn't it? I wonder if there's
something else we could use.
Hi,
I have extracted the preserving relfilenode and dboid from [1]/messages/by-id/7082.1562337694@localhost and
rebased on the current head. While tested I have found a few issues.
- Variable' dbDumpId' was not initialized before passing to
ArchiveEntry() in dumpDatabase() function due to which pg_upgrade was
failing with 'bad dumpId' error
- 'create_storage' flag was set as TRUE irrespective of relkind which
resulted in hitting assert when the source cluster had TYPE in it.
- In createdb() flow, ''dboid' was set to the preserved dboid in wrong
place. It was eventually overwritten and caused problems while
restoring the DB
- Removed the restriction on dumping the postgres DB OID
I have fixed all the issues and now the patch is working as expected.
[1]: /messages/by-id/7082.1562337694@localhost
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v1-0001-Teach-pg_upgrade-to-preserve-OIDs-of-relfilenode-.patchapplication/x-patch; name=v1-0001-Teach-pg_upgrade-to-preserve-OIDs-of-relfilenode-.patchDownload
From 60395b366c399b331a8547525188697a40010bef Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Wed, 11 Aug 2021 13:04:52 +0530
Subject: [PATCH v1] Teach pg_upgrade to preserve OIDs of relfilenode, database
and tablespace.
Since these OIDs are used to construct encryption initialization vector, we
need to keep them the same in the new cluster, otherwise relation files need
to be "reencrypted" during the update and the --link mode must be disabled for
encrypted cluster.
---
src/backend/catalog/heap.c | 66 ++++++--
src/backend/catalog/index.c | 1 +
src/backend/commands/dbcommands.c | 22 ++-
src/backend/commands/tablespace.c | 14 +-
src/backend/utils/adt/pg_upgrade_support.c | 55 +++++++
src/bin/pg_dump/pg_dump.c | 172 ++++++++++++++-------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/Makefile | 2 +-
src/bin/pg_upgrade/dump.c | 1 -
src/bin/pg_upgrade/pg_upgrade.c | 14 +-
src/include/catalog/binary_upgrade.h | 7 +
src/include/catalog/pg_proc.dat | 20 +++
.../spgist_name_ops/expected/spgist_name_ops.out | 14 +-
13 files changed, 315 insertions(+), 76 deletions(-)
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 83746d3..483665d 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -366,17 +368,63 @@ heap_create(const char *relname,
break;
}
- /*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
- */
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
- create_storage = false;
+ /* Decide whether to create storage. */
+ if (!IsBinaryUpgrade)
+ {
+ /*
+ * If caller passed a valid relfilenode, storage is already created,
+ * so don't do it here. Also don't create it for relkinds without
+ * physical storage.
+ */
+ if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ create_storage = false;
+ else
+ {
+ create_storage = true;
+ relfilenode = relid;
+ }
+ }
else
{
- create_storage = true;
- relfilenode = relid;
+ /* Override relfilenode? */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
+ else if (relkind == RELKIND_TOASTVALUE)
+ {
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
+ }
+ else if (relkind == RELKIND_INDEX)
+ {
+ if (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_class index relfilenode value not set when in binary upgrade mode")));
+ relfilenode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+ }
+
+ /*
+ * The storage is needed for the following DDLs, although it will
+ * eventually be overwritten with that of the old cluster.
+ */
+ if (RELKIND_HAS_STORAGE(relkind))
+ create_storage = true;
+ else
+ create_storage = false;
}
/*
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 26bfa74..a124617 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -86,6 +86,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..1022ef9 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -92,6 +92,7 @@ static void remove_dbtablespaces(Oid db_id);
static bool check_db_file_conflict(Oid db_id);
static int errdetail_busy_db(int notherbackends, int npreparedxacts);
+Oid binary_upgrade_next_pg_database_oid = InvalidOid;
/*
* CREATE DATABASE
@@ -504,11 +505,24 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ if (IsBinaryUpgrade)
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ if (!OidIsValid(binary_upgrade_next_pg_database_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_database OID value not set when in binary upgrade mode")));
+
+ dboid = binary_upgrade_next_pg_database_oid;
+ binary_upgrade_next_pg_database_oid = InvalidOid;
+ }
+ else
+ {
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index a54239a..89f5fea 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,7 +336,18 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ if (IsBinaryUpgrade)
+ {
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..bca67bb 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,28 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_database_oid(PG_FUNCTION_ARGS)
+{
+ Oid dboid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_database_oid = dboid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +107,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +129,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +151,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 90ac445..56a9ac5 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -47,6 +47,7 @@
#include "catalog/pg_authid_d.h"
#include "catalog/pg_cast_d.h"
#include "catalog/pg_class_d.h"
+#include "catalog/pg_database.h"
#include "catalog/pg_default_acl_d.h"
#include "catalog/pg_largeobject_d.h"
#include "catalog/pg_largeobject_metadata_d.h"
@@ -292,9 +293,9 @@ static void binary_upgrade_set_type_oids_by_type_oid(Archive *fout,
bool include_multirange_type);
static void binary_upgrade_set_type_oids_by_rel_oid(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_rel_oid);
-static void binary_upgrade_set_pg_class_oids(Archive *fout,
- PQExpBuffer upgrade_buffer,
- Oid pg_class_oid, bool is_index);
+static void binary_upgrade_set_pg_class_oids_and_relfilenodes(Archive *fout,
+ PQExpBuffer upgrade_buffer,
+ Oid pg_class_oid, bool is_index);
static void binary_upgrade_extension_member(PQExpBuffer upgrade_buffer,
const DumpableObject *dobj,
const char *objtype,
@@ -2781,6 +2782,7 @@ dumpDatabase(Archive *fout)
PQExpBuffer dbQry = createPQExpBuffer();
PQExpBuffer delQry = createPQExpBuffer();
PQExpBuffer creaQry = createPQExpBuffer();
+ PQExpBuffer setDBIdQry = createPQExpBuffer();
PQExpBuffer labelq = createPQExpBuffer();
PGconn *conn = GetConnection(fout);
PGresult *res;
@@ -2951,6 +2953,39 @@ dumpDatabase(Archive *fout)
qdatname = pg_strdup(fmtId(datname));
/*
+ * Make sure that pg_upgrade does not change database OID. Don't care
+ * about "postgres" database, backend will assign it fixed OID anyway.
+ * ("template1" has fixed OID too but the value 1 should not collide with
+ * any other OID so backend pays no attention to it.)
+ */
+ if (dopt->binary_upgrade)
+ {
+ appendPQExpBufferStr(setDBIdQry, "\n-- For binary upgrade, must preserve pg_database oid\n");
+ appendPQExpBuffer(setDBIdQry,
+ "SELECT pg_catalog.binary_upgrade_set_next_pg_database_oid('%u'::pg_catalog.oid);\n",
+ dbCatId.oid);
+
+ dbDumpId = createDumpId();
+
+ /*
+ * Need a separate entry, otherwise the command will be run in the
+ * same transaction as the CREATE DATABASE command, which is not
+ * allowed.
+ */
+ ArchiveEntry(fout,
+ dbCatId, /* catalog ID */
+ dbDumpId, /* dump ID */
+ ARCHIVE_OPTS(.tag = datname,
+ .owner = dba,
+ .description = "SET_DB_OID",
+ .section = SECTION_PRE_DATA,
+ .createStmt = setDBIdQry->data,
+ .dropStmt = NULL));
+
+ destroyPQExpBuffer(setDBIdQry);
+ }
+
+ /*
* Prepare the CREATE DATABASE command. We must specify encoding, locale,
* and tablespace since those can't be altered later. Other DB properties
* are left to the DATABASE PROPERTIES entry, so that they can be applied
@@ -3000,7 +3035,6 @@ dumpDatabase(Archive *fout)
qdatname);
dbDumpId = createDumpId();
-
ArchiveEntry(fout,
dbCatId, /* catalog ID */
dbDumpId, /* dump ID */
@@ -4695,53 +4729,76 @@ binary_upgrade_set_type_oids_by_rel_oid(Archive *fout,
destroyPQExpBuffer(upgrade_query);
}
+/*
+ * The function handles both oid and relfilenode since they are related to one
+ * another. It'd be inefficient if we ran two similar queries for each
+ * relation instead of just one.
+ */
static void
-binary_upgrade_set_pg_class_oids(Archive *fout,
- PQExpBuffer upgrade_buffer, Oid pg_class_oid,
- bool is_index)
+binary_upgrade_set_pg_class_oids_and_relfilenodes(Archive *fout,
+ PQExpBuffer upgrade_buffer,
+ Oid pg_class_oid,
+ bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid pg_class_relfilenode;
+ Oid pg_class_reltoastrelid;
+ Oid pg_class_relfilenode_toast;
+ char pg_class_relkind;
+ Oid pg_index_indexrelid;
+ Oid pg_class_relfilenode_toast_idx;
+
+ /*
+ * Preserve the OIDs of the table's toast table and index, if any.
+ * Indexes cannot have toast tables, so we need not make this probe in
+ * the index code path.
+ *
+ * One complexity is that the current table definition might not
+ * require the creation of a TOAST table, but the old database might
+ * have a TOAST table that was created earlier, before some wide
+ * columns were dropped. By setting the TOAST oid we force creation
+ * of the TOAST heap and index by the new backend, so we can copy the
+ * files during binary upgrade without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relfilenode, c.relkind, c.reltoastrelid, ct.relfilenode AS relfilenode_toast, i.indexrelid, cti.relfilenode AS relfilenode_toast_index "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ pg_class_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ pg_class_relfilenode_toast = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode_toast")));
+ pg_class_relkind = *PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relkind"));
+ pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ pg_class_relfilenode_toast_idx = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode_toast_index")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(pg_class_relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
@@ -4753,20 +4810,31 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_reltoastrelid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode_toast);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_index_indexrelid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode_toast_idx);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
@@ -11553,7 +11621,7 @@ dumpCompositeType(Archive *fout, const TypeInfo *tyinfo)
binary_upgrade_set_type_oids_by_type_oid(fout, q,
tyinfo->dobj.catId.oid,
false, false);
- binary_upgrade_set_pg_class_oids(fout, q, tyinfo->typrelid, false);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, q, tyinfo->typrelid, false);
}
qtypname = pg_strdup(fmtId(tyinfo->dobj.name));
@@ -15908,8 +15976,8 @@ dumpTableSchema(Archive *fout, const TableInfo *tbinfo)
appendPQExpBuffer(delq, "DROP VIEW %s;\n", qualrelname);
if (dopt->binary_upgrade)
- binary_upgrade_set_pg_class_oids(fout, q,
- tbinfo->dobj.catId.oid, false);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, q,
+ tbinfo->dobj.catId.oid, false);
appendPQExpBuffer(q, "CREATE VIEW %s", qualrelname);
@@ -15987,8 +16055,8 @@ dumpTableSchema(Archive *fout, const TableInfo *tbinfo)
appendPQExpBuffer(delq, "DROP %s %s;\n", reltypename, qualrelname);
if (dopt->binary_upgrade)
- binary_upgrade_set_pg_class_oids(fout, q,
- tbinfo->dobj.catId.oid, false);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, q,
+ tbinfo->dobj.catId.oid, false);
appendPQExpBuffer(q, "CREATE %s%s %s",
tbinfo->relpersistence == RELPERSISTENCE_UNLOGGED ?
@@ -16798,8 +16866,8 @@ dumpIndex(Archive *fout, const IndxInfo *indxinfo)
int nstatvals = 0;
if (dopt->binary_upgrade)
- binary_upgrade_set_pg_class_oids(fout, q,
- indxinfo->dobj.catId.oid, true);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, q,
+ indxinfo->dobj.catId.oid, true);
/* Plain secondary index */
appendPQExpBuffer(q, "%s;\n", indxinfo->indexdef);
@@ -17054,8 +17122,8 @@ dumpConstraint(Archive *fout, const ConstraintInfo *coninfo)
coninfo->dobj.name);
if (dopt->binary_upgrade)
- binary_upgrade_set_pg_class_oids(fout, q,
- indxinfo->dobj.catId.oid, true);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, q,
+ indxinfo->dobj.catId.oid, true);
appendPQExpBuffer(q, "ALTER %sTABLE ONLY %s\n", foreign,
fmtQualifiedDumpable(tbinfo));
@@ -17471,8 +17539,8 @@ dumpSequence(Archive *fout, const TableInfo *tbinfo)
if (dopt->binary_upgrade)
{
- binary_upgrade_set_pg_class_oids(fout, query,
- tbinfo->dobj.catId.oid, false);
+ binary_upgrade_set_pg_class_oids_and_relfilenodes(fout, query,
+ tbinfo->dobj.catId.oid, false);
/*
* In older PG versions a sequence will have a pg_type entry, but v14
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index c291017..618187c 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1265,6 +1265,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/Makefile b/src/bin/pg_upgrade/Makefile
index 44d06be..e862166 100644
--- a/src/bin/pg_upgrade/Makefile
+++ b/src/bin/pg_upgrade/Makefile
@@ -25,7 +25,7 @@ OBJS = \
util.o \
version.o
-override CPPFLAGS := -DDLSUFFIX=\"$(DLSUFFIX)\" -I$(srcdir) -I$(libpq_srcdir) $(CPPFLAGS)
+override CPPFLAGS := -DDLSUFFIX=\"$(DLSUFFIX)\" -I$(srcdir) -I$(libpq_srcdir) -DFRONTEND $(CPPFLAGS)
LDFLAGS_INTERNAL += -L$(top_builddir)/src/fe_utils -lpgfeutils $(libpq_pgport)
all: pg_upgrade
diff --git a/src/bin/pg_upgrade/dump.c b/src/bin/pg_upgrade/dump.c
index 90060d0..5010520 100644
--- a/src/bin/pg_upgrade/dump.c
+++ b/src/bin/pg_upgrade/dump.c
@@ -49,7 +49,6 @@ generate_old_dump(void)
pg_log(PG_STATUS, "%s", old_db->db_name);
snprintf(sql_file_name, sizeof(sql_file_name), DB_DUMP_FILE_MASK, old_db->db_oid);
snprintf(log_file_name, sizeof(log_file_name), DB_DUMP_LOG_FILE_MASK, old_db->db_oid);
-
parallel_exec_prog(log_file_name, NULL,
"\"%s/pg_dump\" %s --schema-only --quote-all-identifiers "
"--binary-upgrade --format=custom %s --file=\"%s\" %s",
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..d7a9a0b 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,14 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because relfilenode is used to
+ * derive initialization vector for data encryption. If relfilenode changed
+ * during upgrade, we'd be unable to decrypt the data in the new cluster.
+ *
+ * pg_database.oid and pg_tablespace.oid are also preserved because they
+ * participate in the encryption initialization vector.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..b74e284 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,15 +14,22 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_database_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index b603700..6cf948b 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,26 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4544', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_pg_class_relfilenode' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_pg_class_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_pg_class_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_database_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_database_oid' },
+{ oid => '4548', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' }
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..b644858 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,19 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_pg_class_relfilenode | | binary_upgrade_set_next_heap_pg_class_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_pg_class_relfilenode | 1 | binary_upgrade_set_next_index_pg_class_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
+ binary_upgrade_set_next_pg_database_oid | | binary_upgrade_set_next_pg_database_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_pg_class_relfilenode | 1 | binary_upgrade_set_next_toast_pg_class_relfilenode
+(14 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +102,19 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_pg_class_relfilenode | | binary_upgrade_set_next_heap_pg_class_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_pg_class_relfilenode | 1 | binary_upgrade_set_next_index_pg_class_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
+ binary_upgrade_set_next_pg_database_oid | | binary_upgrade_set_next_pg_database_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_pg_class_relfilenode | 1 | binary_upgrade_set_next_toast_pg_class_relfilenode
+(14 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
On Wed, Aug 11, 2021 at 3:41 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have fixed all the issues and now the patch is working as expected.
Hi,
I'm changing the subject line since the patch does something which was
discussed on that thread but isn't really related to the old email
subject. In general, I think this patch is uncontroversial and in
reasonably good shape. However, there's one part that I'm not too sure
about. If Tom Lane happens to be paying attention to this thread, I
think his feedback would be particularly useful, since he knows a lot
about the inner workings of pg_dump. Opinions from anybody else would
be great, too. Anyway, here's the hunk that worries me:
+
+ /*
+ * Need a separate entry, otherwise the command will
be run in the
+ * same transaction as the CREATE DATABASE command, which is not
+ * allowed.
+ */
+ ArchiveEntry(fout,
+ dbCatId, /* catalog ID */
+ dbDumpId, /* dump ID */
+ ARCHIVE_OPTS(.tag = datname,
+ .owner = dba,
+
.description = "SET_DB_OID",
+
.section = SECTION_PRE_DATA,
+
.createStmt = setDBIdQry->data,
+
.dropStmt = NULL));
+To me, adding a separate TOC entry for a thing that is not really a
separate object seems like a scary hack that might come back to bite
us. Unfortunately, I don't know enough about pg_dump to say exactly
how it might come back to bite us, which leaves wide open the
possibility that I am completely wrong.... I just think it's the
intention that archive entries correspond to actual objects in the
database, not commands that we want executed in some particular order.
If that criticism is indeed correct, then my proposal would be to
instead add a WITH OID = nnn option to CREATE DATABASE and allow it to
be used only in binary upgrade mode. That has the disadvantage of
being inconsistent with the way that we preserve OIDs everywhere else,
but the only other alternatives are (1) do something like the above,
(2) remove the requirement that CREATE DATABASE run in its own
transaction, and (3) give up. (2) sounds hard and (3) is unappealing.
The rest of this email will be detailed review comments on the patch
as presented, and thus probably only interesting to someone actually
working on the patch. Feel free to skip if that's not you.
- I suggest splitting the patch into one portion that deals with
database OID and another portion that deals with tablespace OID and
relfilenode OID, or maybe splitting it all the way into three separate
patches, one for each. This could allow the uncontroversial parts to
get committed first while we're wondering what to do about the problem
described above.
- There are two places in the patch, one in dumpDatabase() and one in
generate_old_dump() where blank lines are removed with no other
changes. Please avoid whitespace-only hunks.
- If possible, please try to pgindent the new code. It's pretty good
what you did, but e.g. the declaration of
binary_upgrade_next_pg_tablespace_oid probably has less whitespace
than pgindent is going to want.
- The comments in dumpDatabase() claim that "postgres" and "template1"
are handled specially in some way, but there seems to be no code that
matches those comments.
- heap_create()'s logic around setting create_storage looks slightly
redundant. I'm not positive what would be better, but ... suppose you
just took the part that's currently gated by if (!IsBinaryUpgrade) and
did it unconditionally. Then put if (IsBinaryUpgrade) around the else
clause, but delete the last bit from there that sets create_storage.
Maybe we'd still want a comment saying that it's intentional that
create_storage = true even though it will be overwritten later, but
then, I think, we wouldn't need to set create_storage in two different
places. Maybe I'm wrong.
- If we're not going to do that, then I think you should swap the if
and else clauses and reverse the sense of the test. In createdb(),
CreateTableSpace(), and a bunch of existing places, we do if
(IsBinaryUpgrade) { ... } else { ... } so I don't think it makes sense
for this one to instead do if (!IsBinaryUpgrade) { ... } else { ... }.
- I'm not sure that I'd bother renaming
binary_upgrade_set_pg_class_oids_and_relfilenodes(). It's such a long
name, and a relfilenode is kind of an OID, so the current name isn't
even really wrong. I'd probably drop the header comment too, since it
seems rather obvious. But both of these things are judgement calls.
- Inside that function, there is a comment that says "Indexes cannot
have toast tables, so we need not make this probe in the index code
path." However, you have moved the code from someplace where it didn't
happen for indexes to someplace where it happens for both tables and
indexes. Therefore the comment, which was true when the code was where
it was before, is now false. So you need to update it.
- It is not clear to me why pg_upgrade's Makefile needs to be changed
to include -DFRONTEND in CPPFLAGS. All of the .c files in this
directory include postgres_fe.h rather than postgres.h, and that file
has #define FRONTEND 1. Moreover, there are no actual code changes in
this directory, so why should the Makefile need any change?
- A couple of comment changes - and the commit message - mention data
encryption, but that's not a feature that this patch implements, nor
are we committed to adding it in the immediate future (or ever,
really). So I think those places should be revised to say that we do
this because we want the filenames to match between the old and new
clusters, and leave the reasons why that might be a good thing up to
the reader's imagination.
Thanks,
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
To me, adding a separate TOC entry for a thing that is not really a
separate object seems like a scary hack that might come back to bite
us. Unfortunately, I don't know enough about pg_dump to say exactly
how it might come back to bite us, which leaves wide open the
possibility that I am completely wrong.... I just think it's the
intention that archive entries correspond to actual objects in the
database, not commands that we want executed in some particular order.
I agree, this seems like a moderately bad idea. It could get broken
either by executing only one of the TOC entries during restore, or
by executing them in the wrong order. The latter possibility could
be forestalled by adding a dependency, which I do not see this hunk
doing, which is clearly a bug. The former possibility would require
user intervention, so maybe it's in the category of "if you break
this you get to keep both pieces". Still, it's ugly.
If that criticism is indeed correct, then my proposal would be to
instead add a WITH OID = nnn option to CREATE DATABASE and allow it to
be used only in binary upgrade mode.
If it's not too complicated to implement, that seems like an OK idea
from here. I don't have any great love for the way we handle OID
preservation in binary upgrade mode, so not doing it exactly the same
way for databases doesn't seem like a disadvantage.
regards, tom lane
Greetings,
* Tom Lane (tgl@sss.pgh.pa.us) wrote:
Robert Haas <robertmhaas@gmail.com> writes:
To me, adding a separate TOC entry for a thing that is not really a
separate object seems like a scary hack that might come back to bite
us. Unfortunately, I don't know enough about pg_dump to say exactly
how it might come back to bite us, which leaves wide open the
possibility that I am completely wrong.... I just think it's the
intention that archive entries correspond to actual objects in the
database, not commands that we want executed in some particular order.I agree, this seems like a moderately bad idea. It could get broken
either by executing only one of the TOC entries during restore, or
by executing them in the wrong order. The latter possibility could
be forestalled by adding a dependency, which I do not see this hunk
doing, which is clearly a bug. The former possibility would require
user intervention, so maybe it's in the category of "if you break
this you get to keep both pieces". Still, it's ugly.
Yeah, agreed.
If that criticism is indeed correct, then my proposal would be to
instead add a WITH OID = nnn option to CREATE DATABASE and allow it to
be used only in binary upgrade mode.If it's not too complicated to implement, that seems like an OK idea
from here. I don't have any great love for the way we handle OID
preservation in binary upgrade mode, so not doing it exactly the same
way for databases doesn't seem like a disadvantage.
Also agreed on this, though I wonder- do we actually need to explicitly
make CREATE DATABASE q WITH OID = 1234; only work during binary upgrade
mode in the backend? That strikes me as perhaps doing more work than we
really need to while also preventing something that users might actually
like to do.
Either way, we'll need to check that the OID given to us can be used for
the database, I'd think.
Having pg_dump only include it in binary upgrade mode is fine though.
Thanks,
Stephen
Stephen Frost <sfrost@snowman.net> writes:
Also agreed on this, though I wonder- do we actually need to explicitly
make CREATE DATABASE q WITH OID = 1234; only work during binary upgrade
mode in the backend? That strikes me as perhaps doing more work than we
really need to while also preventing something that users might actually
like to do.
There should be adequate defenses against a duplicate OID already,
so +1 --- no reason to insist this only be used during binary upgrade.
Actually though ... I've not read the patch, but what does it do about
the fact that the postgres and template0 DBs do not have stable OIDs?
I cannot imagine any way to force those to match across PG versions
that would not be an unsustainable crock.
regards, tom lane
On Tue, Aug 17, 2021 at 12:42 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Actually though ... I've not read the patch, but what does it do about
the fact that the postgres and template0 DBs do not have stable OIDs?
I cannot imagine any way to force those to match across PG versions
that would not be an unsustainable crock.
Well, it's interesting that you mention that, because there's a
comment in the patch that probably has to do with this:
+ /*
+ * Make sure that pg_upgrade does not change database OID. Don't care
+ * about "postgres" database, backend will assign it fixed OID anyway.
+ * ("template1" has fixed OID too but the value 1 should not collide with
+ * any other OID so backend pays no attention to it.)
+ */I wasn't able to properly understand that comment, and to be honest
I'm not sure I precisely understand your concern either. I don't quite
see why the template0 database matters. I think that database isn't
going to be dumped, or restored, so as far as pg_upgrade is concerned
it might as well not exist in either cluster, and I don't see why
pg_upgrade can't therefore just ignore it completely. But template1
and postgres are another matter. If I understand correctly, those
databases are going to be created in the new cluster by initdb, but
then pg_upgrade is going to populate them with data - including
relation files - from the old cluster. And, yeah, I don't see how we
could make those database OIDs match, which is not great.
To be honest, what I'd be inclined to do about that is just nail down
those OIDs for future releases. In fact, I'd probably go so far as to
hardcode that in such a way that even if you drop those databases and
recreate them, they get recreated with the same hard-coded OID. Now
that doesn't do anything to create stability when people upgrade from
an old release to a current one, but I don't really see that as an
enormous problem. The only hard requirement for this feature is if we
use the database OID for some kind of encryption or integrity checking
or checksum type feature. Then, you want to avoid having the database
OID change when you upgrade, so that the encryption or integrity check
or checksum in question does not have to be recomputed for every page
as part of pg_upgrade. But, that only matters if you're going between
two releases that support that feature, which will not be the case if
you're upgrading from some old release. Apart from that kind of
feature, it still seems like a nice-to-have to keep database OIDs the
same, but if those cases end up as exceptions, oh well.
Does that seem reasonable, or am I missing something big?
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
I wasn't able to properly understand that comment, and to be honest
I'm not sure I precisely understand your concern either. I don't quite
see why the template0 database matters. I think that database isn't
going to be dumped, or restored, so as far as pg_upgrade is concerned
it might as well not exist in either cluster, and I don't see why
pg_upgrade can't therefore just ignore it completely. But template1
and postgres are another matter. If I understand correctly, those
databases are going to be created in the new cluster by initdb, but
then pg_upgrade is going to populate them with data - including
relation files - from the old cluster.
Right. If pg_upgrade explicitly ignores template0 then its OID
need not be stable ... at least, not unless there's a chance it
could conflict with some other database OID, which would become
a live possibility if we let users get at "WITH OID = n".
(Having said that, I'm not sure that pg_upgrade special-cases
template0, or that it should do so.)
To be honest, what I'd be inclined to do about that is just nail down
those OIDs for future releases.
Yeah, I was thinking along similar lines.
In fact, I'd probably go so far as to
hardcode that in such a way that even if you drop those databases and
recreate them, they get recreated with the same hard-coded OID.
Less sure that this is a good idea, though. In particular, I do not
think that you can make it work in the face of
alter database template1 rename to oops;
create database template1;
The only hard requirement for this feature is if we
use the database OID for some kind of encryption or integrity checking
or checksum type feature.
It's fairly unclear to me why that is so important as to justify the
amount of klugery that this line of thought seems to be bringing.
regards, tom lane
I wrote:
Robert Haas <robertmhaas@gmail.com> writes:
The only hard requirement for this feature is if we
use the database OID for some kind of encryption or integrity checking
or checksum type feature.
It's fairly unclear to me why that is so important as to justify the
amount of klugery that this line of thought seems to be bringing.
And, not to put too fine a point on it, how will you possibly do
that without entirely breaking CREATE DATABASE?
regards, tom lane
On Tue, Aug 17, 2021 at 11:07 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Tue, Aug 17, 2021 at 12:42 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Actually though ... I've not read the patch, but what does it do about
the fact that the postgres and template0 DBs do not have stable OIDs?
I cannot imagine any way to force those to match across PG versions
that would not be an unsustainable crock.Well, it's interesting that you mention that, because there's a
comment in the patch that probably has to do with this:+ /* + * Make sure that pg_upgrade does not change database OID. Don't care + * about "postgres" database, backend will assign it fixed OID anyway. + * ("template1" has fixed OID too but the value 1 should not collide with + * any other OID so backend pays no attention to it.) + */
In the original patch the author intended to avoid dumping the
postgres DB OID like below:
+ if (dopt->binary_upgrade && dbCatId.oid != PostgresDbOid)
Since postgres OID is not hardcoded/fixed I removed the check.
My bad I missed updating the comment section. Sorry for the confusion.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
On Tue, Aug 17, 2021 at 11:56:30AM -0400, Robert Haas wrote:
On Wed, Aug 11, 2021 at 3:41 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have fixed all the issues and now the patch is working as expected.
Hi,
I'm changing the subject line since the patch does something which was
discussed on that thread but isn't really related to the old email
subject. In general, I think this patch is uncontroversial and in
reasonably good shape. However, there's one part that I'm not too sure
about. If Tom Lane happens to be paying attention to this thread, I
think his feedback would be particularly useful, since he knows a lot
about the inner workings of pg_dump. Opinions from anybody else would
be great, too. Anyway, here's the hunk that worries me:
What is the value of preserving db/ts/relfilenode OIDs?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 17, 2021 at 1:54 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Right. If pg_upgrade explicitly ignores template0 then its OID
need not be stable ... at least, not unless there's a chance it
could conflict with some other database OID, which would become
a live possibility if we let users get at "WITH OID = n".
Well, that might be a good reason not to let them do that, then, at
least for n<64k.
In fact, I'd probably go so far as to
hardcode that in such a way that even if you drop those databases and
recreate them, they get recreated with the same hard-coded OID.Less sure that this is a good idea, though. In particular, I do not
think that you can make it work in the face of
alter database template1 rename to oops;
create database template1;
That is a really good point. If we can't categorically force the OID
of those databases to have a particular, fixed value, and based on
this example that seems to be impossible, then there's always a
possibility that we might find a value in the old cluster that doesn't
happen to match what is present in the new cluster. Seen from that
angle, the problem is really with databases that are pre-existent in
the new cluster but whose contents still need to be dumped. Maybe we
could (optionally? conditionally?) drop those databases from the new
cluster and then recreate them with the OID that we want them to have.
The only hard requirement for this feature is if we
use the database OID for some kind of encryption or integrity checking
or checksum type feature.It's fairly unclear to me why that is so important as to justify the
amount of klugery that this line of thought seems to be bringing.
Well, I think it would make sense to figure out how small we can make
the kludge first, and then decide whether it's larger than we can
tolerate. From my point of view, I completely understand why people to
whom those kinds of features are important want to include all the
fields that make up a buffer tag in the checksum or other integrity
check. Right now, if somebody copies a page from one place to another,
or if the operating system fumbles things and switches some pages
around, we have no direct way of detecting that anything bad has
happened. This is not the only problem that would need to be solved in
order to fix that, but it's one of them, and I don't particularly see
why it's not a valid goal. It's not as if a 16-bit checksum that is
computed in exactly the same way for every page in the cluster is such
state-of-the-art technology that only fools question its surpassing
excellence.
--
Robert Haas
EDB: http://www.enterprisedb.com
The rest of this email will be detailed review comments on the patch
as presented, and thus probably only interesting to someone actually
working on the patch. Feel free to skip if that's not you.- I suggest splitting the patch into one portion that deals with
database OID and another portion that deals with tablespace OID and
relfilenode OID, or maybe splitting it all the way into three separate
patches, one for each. This could allow the uncontroversial parts to
get committed first while we're wondering what to do about the problem
described above.
Thanks Robert for your comments.
I have split the patch into two portions. One that handles DB OID and
the other that
handles tablespace OID and relfilenode OID.
- There are two places in the patch, one in dumpDatabase() and one in
generate_old_dump() where blank lines are removed with no other
changes. Please avoid whitespace-only hunks.
These changes are avoided.
- If possible, please try to pgindent the new code. It's pretty good
what you did, but e.g. the declaration of
binary_upgrade_next_pg_tablespace_oid probably has less whitespace
than pgindent is going to want.
Taken care in latest patches
- The comments in dumpDatabase() claim that "postgres" and "template1"
are handled specially in some way, but there seems to be no code that
matches those comments.
The comment is removed.
- heap_create()'s logic around setting create_storage looks slightly
redundant. I'm not positive what would be better, but ... suppose you
just took the part that's currently gated by if (!IsBinaryUpgrade) and
did it unconditionally. Then put if (IsBinaryUpgrade) around the else
clause, but delete the last bit from there that sets create_storage.
Maybe we'd still want a comment saying that it's intentional that
create_storage = true even though it will be overwritten later, but
then, I think, we wouldn't need to set create_storage in two different
places. Maybe I'm wrong.- If we're not going to do that, then I think you should swap the if
and else clauses and reverse the sense of the test. In createdb(),
CreateTableSpace(), and a bunch of existing places, we do if
(IsBinaryUpgrade) { ... } else { ... } so I don't think it makes sense
for this one to instead do if (!IsBinaryUpgrade) { ... } else { ... }.
I have avoided the redundant code and removed the comment as it does
not make sense now that we are setting the create_storage conditionally.
(In the original patch, create_storage was set to TRUE by default for binary
upgrade case which was wrong and was hitting assert in the following flow).
- I'm not sure that I'd bother renaming
binary_upgrade_set_pg_class_oids_and_relfilenodes(). It's such a long
name, and a relfilenode is kind of an OID, so the current name isn't
even really wrong. I'd probably drop the header comment too, since it
seems rather obvious. But both of these things are judgement calls.
I agree. I have retained the old function name.
- Inside that function, there is a comment that says "Indexes cannot
have toast tables, so we need not make this probe in the index code
path." However, you have moved the code from someplace where it didn't
happen for indexes to someplace where it happens for both tables and
indexes. Therefore the comment, which was true when the code was where
it was before, is now false. So you need to update it.
The comment is updated.
- It is not clear to me why pg_upgrade's Makefile needs to be changed
to include -DFRONTEND in CPPFLAGS. All of the .c files in this
directory include postgres_fe.h rather than postgres.h, and that file
has #define FRONTEND 1. Moreover, there are no actual code changes in
this directory, so why should the Makefile need any change?
Makefile change is removed.
- A couple of comment changes - and the commit message - mention data
encryption, but that's not a feature that this patch implements, nor
are we committed to adding it in the immediate future (or ever,
really). So I think those places should be revised to say that we do
this because we want the filenames to match between the old and new
clusters, and leave the reasons why that might be a good thing up to
the reader's imagination.
Taken care.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v2-0001-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v2-0001-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From 6af195ee95bbde8e75fd6bc81350ede33256d866 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Fri, 20 Aug 2021 22:07:42 +0530
Subject: [PATCH v2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs during binary upgrade
so that the database OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/commands/dbcommands.c | 22 +++++++++++++---
src/backend/utils/adt/pg_upgrade_support.c | 11 ++++++++
src/bin/pg_dump/pg_dump.c | 30 ++++++++++++++++++++++
src/bin/pg_upgrade/pg_upgrade.c | 3 +++
src/include/catalog/binary_upgrade.h | 2 ++
src/include/catalog/pg_proc.dat | 4 +++
.../spgist_name_ops/expected/spgist_name_ops.out | 6 +++--
7 files changed, 72 insertions(+), 6 deletions(-)
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..a1e4a83 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -92,6 +92,7 @@ static void remove_dbtablespaces(Oid db_id);
static bool check_db_file_conflict(Oid db_id);
static int errdetail_busy_db(int notherbackends, int npreparedxacts);
+Oid binary_upgrade_next_pg_database_oid = InvalidOid;
/*
* CREATE DATABASE
@@ -504,11 +505,24 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ if (IsBinaryUpgrade)
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ if (!OidIsValid(binary_upgrade_next_pg_database_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_database OID value not set when in binary upgrade mode")));
+
+ dboid = binary_upgrade_next_pg_database_oid;
+ binary_upgrade_next_pg_database_oid = InvalidOid;
+ }
+ else
+ {
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..c499434 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_database_oid(PG_FUNCTION_ARGS)
+{
+ Oid dboid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_database_oid = dboid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 90ac445..0a938a2 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -47,6 +47,7 @@
#include "catalog/pg_authid_d.h"
#include "catalog/pg_cast_d.h"
#include "catalog/pg_class_d.h"
+#include "catalog/pg_database.h"
#include "catalog/pg_default_acl_d.h"
#include "catalog/pg_largeobject_d.h"
#include "catalog/pg_largeobject_metadata_d.h"
@@ -2781,6 +2782,7 @@ dumpDatabase(Archive *fout)
PQExpBuffer dbQry = createPQExpBuffer();
PQExpBuffer delQry = createPQExpBuffer();
PQExpBuffer creaQry = createPQExpBuffer();
+ PQExpBuffer setDBIdQry = createPQExpBuffer();
PQExpBuffer labelq = createPQExpBuffer();
PGconn *conn = GetConnection(fout);
PGresult *res;
@@ -2950,6 +2952,34 @@ dumpDatabase(Archive *fout)
qdatname = pg_strdup(fmtId(datname));
+ /* Make sure that pg_upgrade does not change database OID. */
+ if (dopt->binary_upgrade)
+ {
+ appendPQExpBufferStr(setDBIdQry, "\n-- For binary upgrade, must preserve pg_database oid\n");
+ appendPQExpBuffer(setDBIdQry,
+ "SELECT pg_catalog.binary_upgrade_set_next_pg_database_oid('%u'::pg_catalog.oid);\n",
+ dbCatId.oid);
+
+ dbDumpId = createDumpId();
+
+ /*
+ * Need a separate entry, otherwise the command will be run in the
+ * same transaction as the CREATE DATABASE command, which is not
+ * allowed.
+ */
+ ArchiveEntry(fout,
+ dbCatId, /* catalog ID */
+ dbDumpId, /* dump ID */
+ ARCHIVE_OPTS(.tag = datname,
+ .owner = dba,
+ .description = "SET_DB_OID",
+ .section = SECTION_PRE_DATA,
+ .createStmt = setDBIdQry->data,
+ .dropStmt = NULL));
+
+ destroyPQExpBuffer(setDBIdQry);
+ }
+
/*
* Prepare the CREATE DATABASE command. We must specify encoding, locale,
* and tablespace since those can't be altered later. Other DB properties
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..ad25710 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -22,6 +22,9 @@
* this, old/new pg_class.relfilenode values will not match if CLUSTER,
* REINDEX, or VACUUM FULL have been performed in the old cluster.
*
+ * We control assignment of pg_database.oid because we want the oid to match
+ * between the old and new cluster.
+ *
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
*
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..3809521 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,6 +14,8 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_database_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index b603700..1d7ae19 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,10 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4548', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_database_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_database_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1dcdad4 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -56,10 +56,11 @@ select * from t
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
+ binary_upgrade_set_next_pg_database_oid | | binary_upgrade_set_next_pg_database_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+(10 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -101,10 +102,11 @@ select * from t
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
+ binary_upgrade_set_next_pg_database_oid | | binary_upgrade_set_next_pg_database_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+(10 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
v2-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchapplication/octet-stream; name=v2-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchDownload
From 216bafaf9b0d081bdc670d64d162de75d5b9155c Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Fri, 20 Aug 2021 19:26:12 +0530
Subject: [PATCH v2] Preserve relfilenode and tablespace OID in pg_upgrade
The patch aims to preserve the OIDs of relfilenode and tablespace during binary
upgrade so that the OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/catalog/heap.c | 36 +++++++++
src/backend/catalog/index.c | 1 +
src/backend/commands/tablespace.c | 14 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 ++++++++++
src/bin/pg_dump/pg_dump.c | 94 ++++++++++++++--------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/include/catalog/binary_upgrade.h | 5 ++
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
10 files changed, 195 insertions(+), 43 deletions(-)
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 83746d3..f3c99f6 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -379,6 +381,40 @@ heap_create(const char *relname,
relfilenode = relid;
}
+ if (IsBinaryUpgrade)
+ {
+ /* Override relfilenode? */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
+ else if (relkind == RELKIND_TOASTVALUE)
+ {
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
+ }
+ else if (relkind == RELKIND_INDEX)
+ {
+ if (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_class index relfilenode value not set when in binary upgrade mode")));
+ relfilenode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+ }
+ }
+
/*
* Never allow a pg_class entry to explicitly specify the database's
* default tablespace in reltablespace; force it to zero instead. This
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 26bfa74..a124617 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -86,6 +86,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index a54239a..34e5746 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,7 +336,18 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ if (IsBinaryUpgrade)
+ {
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..d4dc284 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_pg_class_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 90ac445..6ced774 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4700,48 +4700,63 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid pg_class_relfilenode;
+ Oid pg_class_reltoastrelid;
+ Oid pg_class_relfilenode_toast;
+ char pg_class_relkind;
+ Oid pg_index_indexrelid;
+ Oid pg_class_relfilenode_toast_idx;
+
+ /*
+ * Preserve the OIDs of the table's toast table and index, if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relfilenode, c.relkind, c.reltoastrelid, ct.relfilenode AS relfilenode_toast, i.indexrelid, cti.relfilenode AS relfilenode_toast_index "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ pg_class_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ pg_class_relfilenode_toast = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode_toast")));
+ pg_class_relkind = *PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relkind"));
+ pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ pg_class_relfilenode_toast_idx = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode_toast_index")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(pg_class_relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
@@ -4753,20 +4768,31 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_reltoastrelid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode_toast);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_index_indexrelid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode_toast_idx);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_relfilenode('%u'::pg_catalog.oid);\n",
+ pg_class_relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index c291017..618187c 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1265,6 +1265,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..acaf343 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..4ba5748 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index b603700..0626525 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4544', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_pg_class_relfilenode' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_pg_class_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_pg_class_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_pg_class_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..8541b4a 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_pg_class_relfilenode | | binary_upgrade_set_next_heap_pg_class_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_pg_class_relfilenode | 1 | binary_upgrade_set_next_index_pg_class_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_pg_class_relfilenode | 1 | binary_upgrade_set_next_toast_pg_class_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_pg_class_relfilenode | | binary_upgrade_set_next_heap_pg_class_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_pg_class_relfilenode | 1 | binary_upgrade_set_next_index_pg_class_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_pg_class_relfilenode | 1 | binary_upgrade_set_next_toast_pg_class_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
On Fri, Aug 20, 2021 at 1:36 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks Robert for your comments.
I have split the patch into two portions. One that handles DB OID and
the other that
handles tablespace OID and relfilenode OID.
It's pretty clear from the discussion, I think, that the database OID
one is going to need rework to be considered.
Regarding the other one:
- The comment in binary_upgrade_set_pg_class_oids() is still not
accurate. You removed the sentence which says "Indexes cannot have
toast tables, so we need not make this probe in the index code path"
but the immediately preceding sentence is still inaccurate in at least
two ways. First, it only talks about tables, but the code now applies
to indexes. Second, it only talks about OIDs, but now also deals with
refilenodes. It's really important to fully update every comment that
might be affected by your changes!
- The SQL query in that function isn't completely correct. There is a
left join from pg_class to pg_index whose ON clause includes
"c.reltoastrelid = i.indrelid AND i.indisvalid." The reason it's
likely that is because it is possible, in corner cases, for a TOAST
table to have multiple TOAST indexes. I forget exactly how that
happens, but I think it might be like if a REINDEX CONCURRENTLY on the
TOAST table fails midway through, or something of that sort. Now if
that happens, the LEFT JOIN you added is going to cause the output to
contain multiple rows, because you didn't replicate the i.indisvalid
condition into that ON clause. And then it will fail. Apparently we
don't have a pg_upgrade test case for this scenario; we probably
should. Actually what I think would be even better than putting
i.indisvalid into that ON clause would be to join off of i.indrelid
rather than c.reltoastrelid.
- The code that decodes the various columns of this query does so in a
slightly different order than the query itself. It would be better to
make it match. Perhaps put relkind first in both cases. I might also
think about trying to make the column naming a bit more consistent,
e.g. relkind, relfilenode, toast_oid, toast_relfilenode,
toast_index_oid, toast_index_relfilenode.
- In heap_create(), the wording of the error messages is not quite
consistent. You have "relfilenode value not set when in binary upgrade
mode", "toast relfilenode value not set when in binary upgrade mode",
and "pg_class index relfilenode value not set when in binary upgrade
mode". Why does the last one mention pg_class when the other two
don't?
- The code in heap_create() now has no comments whatsoever, which is a
shame, because it's actually kind of a tricky bit of logic. Someone
might wonder why we override the relfilenode inside that function
instead of doing it at the same places where we absorb
binary_upgrade_next_{heap,index,toast}_pg_class_oid and the passing
down the relfilenode. I think the answer is that passing down the
relfilenode from the caller would result in storage not actually being
created, whereas in this case we want it to be created but just with
the value we specify, and the reason we want that is because we need
later DDL that happens after these statements but before the old
cluster's relations are moved over to execute successfully, which it
won't if the storage is altogether absent.
However, that raises the question of whether this patch has even got
the basic design right. Maybe we ought to actually be absorbing the
relfilenode setting at the same places where we're doing so for the
OID, and then passing an additional parameter to heap_create() like
bool suppress_storage or something like that. Maybe, taking it even
further, we ought to be changing the signatures of
binary_upgrade_next_heap_pg_class_oid and friends to be two-argument
functions, and pass down the OID and the relfilenode in the same call,
rather than calling two separate functions. I'm not so much concerned
about the cost of calling two functions as the potential for
confusion. I'm not honestly sure that either of these changes are the
right thing to do, but I am pretty strongly inclined to do at least
the first part - trying to absorb reloid and relfilenode in the same
places. If we're not going to do that we certainly need to explain why
we're doing it the way we are in the comments.
It's not really this patch's fault, but it would sure be nice if we
had some better testing for this area. Suppose this patch somehow
changed nothing from the present behavior. How would we know? Or
suppose it managed to somehow set all the relfilenodes in the new
cluster to random values rather than the intended one? There's no
automated testing that would catch any of that, and it's not obvious
how it could be added to test.sh. I suppose what we really need to do
at some point is rewrite that as a TAP test, but that seems like a
separate project from this patch.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Fri, Aug 20, 2021 at 1:36 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks Robert for your comments.
I have split the patch into two portions. One that handles DB OID and
the other that
handles tablespace OID and relfilenode OID.It's pretty clear from the discussion, I think, that the database OID
one is going to need rework to be considered.
Regarding that ... I have to wonder just what promises we feel we've
made when it comes to what a user is expected to be able to do with the
new cluster *before* pg_upgrade is run on it. For my part, I sure feel
like it's "nothing", in which case it seems like we can do things that
we can't do with a running system, like literally just DROP and recreate
with the correct OID of any databases we need to, or even push that back
to the user to do that at initdb time with some kind of error thrown by
pg_upgrade during the --check phase. "Initial databases have
non-standard OIDs, recreate destination cluster with initdb
--with-oid=12341" or something along those lines.
Also open to the idea of simply forcing 'template1' to always being
OID=1 even if it's dropped/recreated and then just dropping/recreating
the template0 and postgres databases if they've got different OIDs than
what the old cluster did- after all, they should be getting entirely
re-populated as part of the pg_upgrade process itself.
Thanks,
Stephen
On Mon, Aug 23, 2021 at 04:57:31PM -0400, Robert Haas wrote:
On Fri, Aug 20, 2021 at 1:36 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks Robert for your comments.
I have split the patch into two portions. One that handles DB OID and
the other that
handles tablespace OID and relfilenode OID.It's pretty clear from the discussion, I think, that the database OID
one is going to need rework to be considered.
I assume this patch is not going to be applied until there is an actual
use case for preserving these values.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 24, 2021 at 5:59 AM Bruce Momjian <bruce@momjian.us> wrote:
On Mon, Aug 23, 2021 at 04:57:31PM -0400, Robert Haas wrote:
On Fri, Aug 20, 2021 at 1:36 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks Robert for your comments.
I have split the patch into two portions. One that handles DB OID and
the other that
handles tablespace OID and relfilenode OID.It's pretty clear from the discussion, I think, that the database OID
one is going to need rework to be considered.I assume this patch is not going to be applied until there is an actual
use case for preserving these values.
JFI, I added an entry into commit fest for this patch.
link: https://commitfest.postgresql.org/34/3296/
On Mon, Aug 23, 2021 at 5:12 PM Stephen Frost <sfrost@snowman.net> wrote:
Regarding that ... I have to wonder just what promises we feel we've
made when it comes to what a user is expected to be able to do with the
new cluster *before* pg_upgrade is run on it. For my part, I sure feel
like it's "nothing", in which case it seems like we can do things that
we can't do with a running system, like literally just DROP and recreate
with the correct OID of any databases we need to, or even push that back
to the user to do that at initdb time with some kind of error thrown by
pg_upgrade during the --check phase. "Initial databases have
non-standard OIDs, recreate destination cluster with initdb
--with-oid=12341" or something along those lines.
Yeah, possibly. Honestly, I find it weird that pg_upgrade expects the
new cluster to already exist. It seems like it would be more sensible
if it created the cluster itself. That's not entirely trivial, because
for example you have to create it with the correct locale settings and
stuff. But if you require the cluster to exist already, then you run
into the kinds of questions that you're asking here, and whether the
answer is "nothing" as you propose here or something more than that,
it's clearly not "whatever you want" nor anything close to that.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Mon, Aug 23, 2021 at 8:29 PM Bruce Momjian <bruce@momjian.us> wrote:
I assume this patch is not going to be applied until there is an actual
use case for preserving these values.
My interpretation of the preceding discussion was that several people
thought this change was a good idea regardless of whether anything
ever happens with TDE, so I wasn't seeing a reason to wait.
Personally, I've always thought that it was quite odd that pg_upgrade
didn't preserve the relfilenode values, so I'm in favor of the change.
I bet we could even make some simplifications to that code if we got
all of this sorted out, which seems like it would be nice.
I think it was also mentioned that this might be nice for pgBackRest,
which apparently permits incremental backups across major version
upgrades but likes filenames to match.
That being said, if you or somebody else thinks that this is a bad
idea or that the reasons offered up until now are insufficient, feel
free to make that argument. I just work here...
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
On Mon, Aug 23, 2021 at 8:29 PM Bruce Momjian <bruce@momjian.us> wrote:
I assume this patch is not going to be applied until there is an actual
use case for preserving these values.
...
That being said, if you or somebody else thinks that this is a bad
idea or that the reasons offered up until now are insufficient, feel
free to make that argument. I just work here...
Per upthread discussion, it seems impractical to fully guarantee
that database OIDs match, which seems to mean that the whole premise
collapses. Like Bruce, I want to see a plausible use case justifying
any partial-guarantee scenario before we add more complication (= bugs)
to pg_upgrade.
regards, tom lane
On Tue, Aug 24, 2021 at 12:04:00PM -0400, Tom Lane wrote:
Robert Haas <robertmhaas@gmail.com> writes:
On Mon, Aug 23, 2021 at 8:29 PM Bruce Momjian <bruce@momjian.us> wrote:
I assume this patch is not going to be applied until there is an actual
use case for preserving these values....
That being said, if you or somebody else thinks that this is a bad
idea or that the reasons offered up until now are insufficient, feel
free to make that argument. I just work here...Per upthread discussion, it seems impractical to fully guarantee
that database OIDs match, which seems to mean that the whole premise
collapses. Like Bruce, I want to see a plausible use case justifying
any partial-guarantee scenario before we add more complication (= bugs)
to pg_upgrade.
Yes, pg_upgrade is already complex enough, so why add more complexity
for some cosmetic value. (I think "cosmetic" flew out the window with
pg_upgrade long ago. ;-) )
I know that pgBackRest has asked for stable relfilenodes to make
incremental file system backups after pg_upgrade smaller, but if we want
to make relfilenodes stable, we had better understand that is _why_ we
are adding this complexity.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 24, 2021 at 11:28:37AM -0400, Robert Haas wrote:
On Mon, Aug 23, 2021 at 8:29 PM Bruce Momjian <bruce@momjian.us> wrote:
I assume this patch is not going to be applied until there is an actual
use case for preserving these values.My interpretation of the preceding discussion was that several people
thought this change was a good idea regardless of whether anything
ever happens with TDE, so I wasn't seeing a reason to wait.
Personally, I've always thought that it was quite odd that pg_upgrade
didn't preserve the relfilenode values, so I'm in favor of the change.
I bet we could even make some simplifications to that code if we got
all of this sorted out, which seems like it would be nice.
Yes, if this ends up being a cleanup with no added complexity, that
would be nice, but I had not seen how that was possible in the psat.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 24, 2021 at 11:24:21AM -0400, Robert Haas wrote:
On Mon, Aug 23, 2021 at 5:12 PM Stephen Frost <sfrost@snowman.net> wrote:
Regarding that ... I have to wonder just what promises we feel we've
made when it comes to what a user is expected to be able to do with the
new cluster *before* pg_upgrade is run on it. For my part, I sure feel
like it's "nothing", in which case it seems like we can do things that
we can't do with a running system, like literally just DROP and recreate
with the correct OID of any databases we need to, or even push that back
to the user to do that at initdb time with some kind of error thrown by
pg_upgrade during the --check phase. "Initial databases have
non-standard OIDs, recreate destination cluster with initdb
--with-oid=12341" or something along those lines.Yeah, possibly. Honestly, I find it weird that pg_upgrade expects the
new cluster to already exist. It seems like it would be more sensible
if it created the cluster itself. That's not entirely trivial, because
for example you have to create it with the correct locale settings and
stuff. But if you require the cluster to exist already, then you run
into the kinds of questions that you're asking here, and whether the
answer is "nothing" as you propose here or something more than that,
it's clearly not "whatever you want" nor anything close to that.
Yes, it is a trade-off. If we had pg_upgrade create the new cluster,
the pg_upgrade instructions would be simpler, but pg_upgrade would be
more complex since it has to adjust _everything_ properly so pg_upgrade
works --- I never got to that point, but I am willing to explore what
would be required.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 24, 2021 at 12:04 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Per upthread discussion, it seems impractical to fully guarantee
that database OIDs match, which seems to mean that the whole premise
collapses. Like Bruce, I want to see a plausible use case justifying
any partial-guarantee scenario before we add more complication (= bugs)
to pg_upgrade.
I think you might be overlooking the emails from Stephen and I where
we suggested how that could be made to work?
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Mon, Aug 23, 2021 at 5:12 PM Stephen Frost <sfrost@snowman.net> wrote:
Regarding that ... I have to wonder just what promises we feel we've
made when it comes to what a user is expected to be able to do with the
new cluster *before* pg_upgrade is run on it. For my part, I sure feel
like it's "nothing", in which case it seems like we can do things that
we can't do with a running system, like literally just DROP and recreate
with the correct OID of any databases we need to, or even push that back
to the user to do that at initdb time with some kind of error thrown by
pg_upgrade during the --check phase. "Initial databases have
non-standard OIDs, recreate destination cluster with initdb
--with-oid=12341" or something along those lines.Yeah, possibly. Honestly, I find it weird that pg_upgrade expects the
new cluster to already exist. It seems like it would be more sensible
if it created the cluster itself. That's not entirely trivial, because
for example you have to create it with the correct locale settings and
stuff. But if you require the cluster to exist already, then you run
into the kinds of questions that you're asking here, and whether the
answer is "nothing" as you propose here or something more than that,
it's clearly not "whatever you want" nor anything close to that.
Yeah, I'd had a similar thought and also tend to agree that it'd make
more sense for pg_upgrade to set up the new cluster too, and doing so in
a way that makes sure that it matches the old cluster as that's rather
important. Having the user do it also implies that there is some
freedom for the user to mess around with the new cluster before running
pg_upgrade, it seems to me anyway, and that's certainly not something
that we've built anything into pg_upgrade to deal with cleanly..
It isn't like initdb takes all *that* long to run either, and reducing
the number of steps that the user has to take to perform an upgrade sure
seems like a good thing to do. Anyhow, just wanted to throw that out
there as another way we might approach this.
Thanks,
Stephen
On Tue, Aug 24, 2021 at 12:43 PM Bruce Momjian <bruce@momjian.us> wrote:
Yes, it is a trade-off. If we had pg_upgrade create the new cluster,
the pg_upgrade instructions would be simpler, but pg_upgrade would be
more complex since it has to adjust _everything_ properly so pg_upgrade
works --- I never got to that point, but I am willing to explore what
would be required.
It's probably a topic for another thread, rather than this one, but I
think that would be very cool.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Tue, Aug 24, 2021 at 12:43 PM Bruce Momjian <bruce@momjian.us> wrote:
Yes, it is a trade-off. If we had pg_upgrade create the new cluster,
the pg_upgrade instructions would be simpler, but pg_upgrade would be
more complex since it has to adjust _everything_ properly so pg_upgrade
works --- I never got to that point, but I am willing to explore what
would be required.It's probably a topic for another thread, rather than this one, but I
think that would be very cool.
Yes, definite +1 on this.
Thanks,
Stephen
On Tue, Aug 24, 2021 at 12:43:20PM -0400, Bruce Momjian wrote:
Yes, it is a trade-off. If we had pg_upgrade create the new cluster,
the pg_upgrade instructions would be simpler, but pg_upgrade would be
more complex since it has to adjust _everything_ properly so pg_upgrade
works --- I never got to that point, but I am willing to explore what
would be required.
One other issue --- the more that pg_upgrade preserves, the more likely
pg_upgrade will break when some internal changes happen in Postgres.
Therefore, if you want pg_upgrade to preserve something, you have to
have a good reason --- even code simplicity might not be a sufficient
reason.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 24, 2021 at 2:16 PM Bruce Momjian <bruce@momjian.us> wrote:
One other issue --- the more that pg_upgrade preserves, the more likely
pg_upgrade will break when some internal changes happen in Postgres.
Therefore, if you want pg_upgrade to preserve something, you have to
have a good reason --- even code simplicity might not be a sufficient
reason.
While I accept that as a general principle, I don't think it's really
applicable in this case. pg_upgrade already knows all about
relfilenodes; it has a source file called relfilenode.c. I don't see
that a pg_upgrade that preserves relfilenodes is any more or less
likely to break in the future than a pg_upgrade that renumbers all the
files so that the relation OID and the relfilenode are equal. You've
got about the same amount of reliance on the on-disk layout either
way.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Aug 24, 2021 at 02:34:26PM -0400, Robert Haas wrote:
On Tue, Aug 24, 2021 at 2:16 PM Bruce Momjian <bruce@momjian.us> wrote:
One other issue --- the more that pg_upgrade preserves, the more likely
pg_upgrade will break when some internal changes happen in Postgres.
Therefore, if you want pg_upgrade to preserve something, you have to
have a good reason --- even code simplicity might not be a sufficient
reason.While I accept that as a general principle, I don't think it's really
applicable in this case. pg_upgrade already knows all about
relfilenodes; it has a source file called relfilenode.c. I don't see
that a pg_upgrade that preserves relfilenodes is any more or less
likely to break in the future than a pg_upgrade that renumbers all the
files so that the relation OID and the relfilenode are equal. You've
got about the same amount of reliance on the on-disk layout either
way.
I was making more of a general statement that preservation can be
problematic and its impact must be researched.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Aug 17, 2021 at 2:50 PM Robert Haas <robertmhaas@gmail.com> wrote:
Less sure that this is a good idea, though. In particular, I do not
think that you can make it work in the face of
alter database template1 rename to oops;
create database template1;That is a really good point. If we can't categorically force the OID
of those databases to have a particular, fixed value, and based on
this example that seems to be impossible, then there's always a
possibility that we might find a value in the old cluster that doesn't
happen to match what is present in the new cluster. Seen from that
angle, the problem is really with databases that are pre-existent in
the new cluster but whose contents still need to be dumped. Maybe we
could (optionally? conditionally?) drop those databases from the new
cluster and then recreate them with the OID that we want them to have.
Actually, we do that already. create_new_objects() runs pg_restore
with --create for most databases, but with --clean --create for
template1 and postgres. This means that template1 and postgres will
always be recreated in the new cluster, and other databases are
assumed not to exist in the new cluster and the upgrade will fail if
they unexpectedly do. And the reason why pg_upgrade does that is that
it wants to "propagate [the] database-level properties" of postgres
and template1. So suppose we just make the database OID one of the
database-level properties that we want to propagate. That should
mostly just work, but where can things go wrong?
The only real failure mode is we try to create a database in the new
cluster and find out that the OID is already in use. If the new OID
that collides >64k, then the user has messed with the new cluster
before doing that. And since pg_upgrade is pretty clearly already
assuming that you shouldn't do that, it's fine to also make that
assumption in this case. We can disregard such cases as user error.
If the new OID that collides is <64k, then it must be colliding with
template0, template1, or postgres in the new cluster, because those
are the only databases that can have such OIDs since, currently, we
don't allow users to specify an OID for a new database. And the
problem cannot be with template1, because we hard-code its OID to 1.
If there is a database with OID 1 in either cluster, it must be
template1, and if there is a database with OID 1 in both clusters, it
must be template1 in both cases, and we'll just drop and recreate it
with OID 1 and everything is fine. So we need only consider template0
and postgres, which are created with system-generated OIDs. And, it
would be no issue if either of those databases had the same OID in the
old and new cluster, so the only possible OID collision is one where
the same system-generated OID was assigned to one of those databases
in the old cluster and to the other in the new cluster.
First consider the case where template0 has OID, say, 13000, in the
old cluster, and postgres has that OID in the new cluster. No problem
occurs, because template0 isn't transferred anyway. The reverse
direction is a problem, though. If postgres had been assigned OID
13000 in the old cluster and, by sheer chance, template0 had that OID
in the new cluster, then the upgrade would fail, because it wouldn't
be able to recreate the postgres database with the correct OID.
But that doesn't seem very difficult to fix. I think all we need to do
is have initdb assign a fixed OID to template0 at creation time. Then,
in any new release to which someone might be trying to upgrade, the
system-generated OID assigned to postgres in the old release can't
match the fixed OID assigned to template0 in the new release, so the
one problem case is ruled out. We do need, however, to make sure that
the assign-my-database-a-fixed-OID syntax is either entirely
restricted to initdb & pg_upgrade or at least that OIDS < 64k can only
be assigned in one of those modes. Otherwise, some creative person
could manufacture new problem cases by setting up the source database
so that the OID of one of their databases matches the fixed OID we
gave to template0 or template1, or the system-generated OID for
postgres in the new cluster.
In short, as far as I can see, all we need to do to preserve database
OIDs across pg_upgrade is:
1. Add a new syntax for creating a database with a given OID, and use
it in pg_dump --binary-upgrade.
2. Don't let users use it at least for OIDs <64k, or maybe just don't
let them use it at all.
3. But let initdb use it, and have initdb set the initial OID for
template0 to a fixed value < 10000. If the user changes it later, no
problem; the cluster into which they are upgrading won't contain any
databases with high-numbered OIDs.
Anyone see a flaw in that analysis?
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 11:24 AM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.
You make it sound like I didn't answer that question the last time you
asked it, but I did.[1]/messages/by-id/CA+Tgmob7msyh3VRaY87USr22UakvvSyy4zBaQw2AO2CfoUD3rA@mail.gmail.com I went back to the previous thread and found
that, in fact, there's at least one email *from you* appearing to
endorse that concept for reasons unrelated to TDE[2]/messages/by-id/20210601140949.GC22012@momjian.us and another where
you appear to agree that it would be useful for TDE to do it.[3]/messages/by-id/20210527210023.GJ5646@momjian.us
Stephen Frost also wrote up his discussion during the Unconference and
some of his reasons for liking the idea.[4]/messages/by-id/20210531201652.GY20766@tamriel.snowman.net
If you've changed your mind about this being a good idea, or if you no
longer think it's useful without TDE, that's fine. Everyone is
entitled to change their opinion. But then please say that straight
out. It baffles me why you're now acting as if it hasn't been
discussed when it clearly has been, and both you and I were
participants in that discussion.
[1]: /messages/by-id/CA+Tgmob7msyh3VRaY87USr22UakvvSyy4zBaQw2AO2CfoUD3rA@mail.gmail.com
[2]: /messages/by-id/20210601140949.GC22012@momjian.us
[3]: /messages/by-id/20210527210023.GJ5646@momjian.us
[4]: /messages/by-id/20210531201652.GY20766@tamriel.snowman.net
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.
I'm a bit confused why this question keeps coming up as we've discussed
multiple reasons (incremental backups, possible use for TDE which would
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional code
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.
Thanks,
Stephen
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Tue, Aug 17, 2021 at 2:50 PM Robert Haas <robertmhaas@gmail.com> wrote:
Less sure that this is a good idea, though. In particular, I do not
think that you can make it work in the face of
alter database template1 rename to oops;
create database template1;That is a really good point. If we can't categorically force the OID
of those databases to have a particular, fixed value, and based on
this example that seems to be impossible, then there's always a
possibility that we might find a value in the old cluster that doesn't
happen to match what is present in the new cluster. Seen from that
angle, the problem is really with databases that are pre-existent in
the new cluster but whose contents still need to be dumped. Maybe we
could (optionally? conditionally?) drop those databases from the new
cluster and then recreate them with the OID that we want them to have.Actually, we do that already. create_new_objects() runs pg_restore
with --create for most databases, but with --clean --create for
template1 and postgres. This means that template1 and postgres will
always be recreated in the new cluster, and other databases are
assumed not to exist in the new cluster and the upgrade will fail if
they unexpectedly do. And the reason why pg_upgrade does that is that
it wants to "propagate [the] database-level properties" of postgres
and template1. So suppose we just make the database OID one of the
database-level properties that we want to propagate. That should
mostly just work, but where can things go wrong?The only real failure mode is we try to create a database in the new
cluster and find out that the OID is already in use. If the new OID
that collides >64k, then the user has messed with the new cluster
before doing that. And since pg_upgrade is pretty clearly already
assuming that you shouldn't do that, it's fine to also make that
assumption in this case. We can disregard such cases as user error.If the new OID that collides is <64k, then it must be colliding with
template0, template1, or postgres in the new cluster, because those
are the only databases that can have such OIDs since, currently, we
don't allow users to specify an OID for a new database. And the
problem cannot be with template1, because we hard-code its OID to 1.
If there is a database with OID 1 in either cluster, it must be
template1, and if there is a database with OID 1 in both clusters, it
must be template1 in both cases, and we'll just drop and recreate it
with OID 1 and everything is fine. So we need only consider template0
and postgres, which are created with system-generated OIDs. And, it
would be no issue if either of those databases had the same OID in the
old and new cluster, so the only possible OID collision is one where
the same system-generated OID was assigned to one of those databases
in the old cluster and to the other in the new cluster.First consider the case where template0 has OID, say, 13000, in the
old cluster, and postgres has that OID in the new cluster. No problem
occurs, because template0 isn't transferred anyway. The reverse
direction is a problem, though. If postgres had been assigned OID
13000 in the old cluster and, by sheer chance, template0 had that OID
in the new cluster, then the upgrade would fail, because it wouldn't
be able to recreate the postgres database with the correct OID.But that doesn't seem very difficult to fix. I think all we need to do
is have initdb assign a fixed OID to template0 at creation time. Then,
in any new release to which someone might be trying to upgrade, the
system-generated OID assigned to postgres in the old release can't
match the fixed OID assigned to template0 in the new release, so the
one problem case is ruled out. We do need, however, to make sure that
the assign-my-database-a-fixed-OID syntax is either entirely
restricted to initdb & pg_upgrade or at least that OIDS < 64k can only
be assigned in one of those modes. Otherwise, some creative person
could manufacture new problem cases by setting up the source database
so that the OID of one of their databases matches the fixed OID we
gave to template0 or template1, or the system-generated OID for
postgres in the new cluster.In short, as far as I can see, all we need to do to preserve database
OIDs across pg_upgrade is:1. Add a new syntax for creating a database with a given OID, and use
it in pg_dump --binary-upgrade.
2. Don't let users use it at least for OIDs <64k, or maybe just don't
let them use it at all.
3. But let initdb use it, and have initdb set the initial OID for
template0 to a fixed value < 10000. If the user changes it later, no
problem; the cluster into which they are upgrading won't contain any
databases with high-numbered OIDs.Anyone see a flaw in that analysis?
This looks like a pretty good analysis to me. As it relates to the
question about allowing users to specify an OID, I'd be inclined to
allow it but only for OIDs >64k. We've certainly reserved things in the
past and I don't see any issue with having that reservation here, but if
we're going to build the capability to specify the OID into CREATE
DATABASE then it seems a bit odd to disallow users from using it, as
long as we're preventing them from causing problems with it.
Are there issues that you see with allowing users to specify the OID
even with the >64k restriction..? I can't think of one offhand but
perhaps I'm missing something.
Thanks,
Stephen
On Thu, Aug 26, 2021 at 11:35:01AM -0400, Robert Haas wrote:
On Thu, Aug 26, 2021 at 11:24 AM Bruce Momjian <bruce@momjian.us> wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.You make it sound like I didn't answer that question the last time you
asked it, but I did.[1] I went back to the previous thread and found
that, in fact, there's at least one email *from you* appearing to
endorse that concept for reasons unrelated to TDE[2] and another where
you appear to agree that it would be useful for TDE to do it.[3]
Stephen Frost also wrote up his discussion during the Unconference and
some of his reasons for liking the idea.[4]If you've changed your mind about this being a good idea, or if you no
longer think it's useful without TDE, that's fine. Everyone is
entitled to change their opinion. But then please say that straight
out. It baffles me why you're now acting as if it hasn't been
discussed when it clearly has been, and both you and I were
participants in that discussion.[1] /messages/by-id/CA+Tgmob7msyh3VRaY87USr22UakvvSyy4zBaQw2AO2CfoUD3rA@mail.gmail.com
[2] /messages/by-id/20210601140949.GC22012@momjian.us
[3] /messages/by-id/20210527210023.GJ5646@momjian.us
[4] /messages/by-id/20210531201652.GY20766@tamriel.snowman.net
Yes, it would help incremental backup of pgBackRest, as reported by the
developers. However, I have seen no discussion if this is useful enough
reason to add the complexity to preserve this. The TODO list shows
"Desirability" as the first item to be discussed, so I expected that to
be discussed first. Also, with TDE not progressing (and my approach not
even needing this), I have not seen a full discussion if this item is
desirable based on its complexity.
What I did see is this patch appear with no context of why it is useful
given our current plans, except for pgBackRest, which I think I
mentioned.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 11:36:51AM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.I'm a bit confused why this question keeps coming up as we've discussed
multiple reasons (incremental backups, possible use for TDE which would
I have not seen much explaination on pgBackRest, except me mentioning
it. Is this something really useful?
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional code
How? I am not aware of any advantage except cosmetic.
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.
I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 11:39 AM Stephen Frost <sfrost@snowman.net> wrote:
This looks like a pretty good analysis to me. As it relates to the
question about allowing users to specify an OID, I'd be inclined to
allow it but only for OIDs >64k. We've certainly reserved things in the
past and I don't see any issue with having that reservation here, but if
we're going to build the capability to specify the OID into CREATE
DATABASE then it seems a bit odd to disallow users from using it, as
long as we're preventing them from causing problems with it.Are there issues that you see with allowing users to specify the OID
even with the >64k restriction..? I can't think of one offhand but
perhaps I'm missing something.
So I actually should have said 16k here, not 64k, as somebody already
pointed out to me off-list. Whee!
I don't know of a reason not to let people do that, other than that it
seems like an attractive nuisance. People will do it and it will fail
because they chose a duplicate OID, or they'll complain that a regular
dump and restore didn't preserve their database OIDs, or maybe they'll
expect that they can copy a database from one cluster to another
because they gave it the same OID! That said, I don't see a great harm
in it. It just seems to me like exposing knobs to users that don't
seem to have any legitimate use may be borrowing trouble.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:36:51AM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.I'm a bit confused why this question keeps coming up as we've discussed
multiple reasons (incremental backups, possible use for TDE which wouldI have not seen much explaination on pgBackRest, except me mentioning
it. Is this something really useful?
Being able to quickly perform a backup on a newly upgraded cluster would
certainly be valuable and that's definitely not possible today due to
all of the filenames changing.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?
That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional codeHow? I am not aware of any advantage except cosmetic.
Having to resort to matching up inode numbers between the two clusters
after a pg_upgrade to figure out what files are actually the same
underneath is a pain that goes beyond just cosmetics imv. Removing that
additional level that admins, and developers for that matter, have to go
through would be a nice improvement on its own.
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.
I feel that this, along with the prior discussions, spells it out
sufficiently given the patch's complexity looks to be reasonably minor
and very similar to the existing things that pg_upgrade already does.
Had pg_upgrade done this in the first place, I don't think there would
have been nearly this amount of discussion about it.
Thanks,
Stephen
On Thu, Aug 26, 2021 at 11:48 AM Bruce Momjian <bruce@momjian.us> wrote:
I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.
I don't think it's going to be all that complicated, but we're going
to have to wait until we have something closer to a final patch before
we can really evaluate that. I am honestly a little puzzled about why
you think complexity is such a big issue for this patch in particular.
I feel we do probably several hundred things every release cycle that
are more complicated than this, so it doesn't seem like this is
particularly extraordinary or needs a lot of extra scrutiny. I do
think there is some risk that there are messy cases we can't handle
cleanly, but if that becomes an issue then I'll abandon the effort
until a solution can be found. I'm not trying to relentlessly drive
something through that is a bad idea on principle.
I agree with all Stephen's comments, too.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Aug 26, 2021 at 11:39 AM Stephen Frost <sfrost@snowman.net> wrote:
This looks like a pretty good analysis to me. As it relates to the
question about allowing users to specify an OID, I'd be inclined to
allow it but only for OIDs >64k. We've certainly reserved things in the
past and I don't see any issue with having that reservation here, but if
we're going to build the capability to specify the OID into CREATE
DATABASE then it seems a bit odd to disallow users from using it, as
long as we're preventing them from causing problems with it.Are there issues that you see with allowing users to specify the OID
even with the >64k restriction..? I can't think of one offhand but
perhaps I'm missing something.So I actually should have said 16k here, not 64k, as somebody already
pointed out to me off-list. Whee!
Hah, yes, of course.
I don't know of a reason not to let people do that, other than that it
seems like an attractive nuisance. People will do it and it will fail
because they chose a duplicate OID, or they'll complain that a regular
dump and restore didn't preserve their database OIDs, or maybe they'll
expect that they can copy a database from one cluster to another
because they gave it the same OID! That said, I don't see a great harm
in it. It just seems to me like exposing knobs to users that don't
seem to have any legitimate use may be borrowing trouble.
We're going to have to gate this somehow to allow the OIDs under 16k to
be used, so it seems like what you're suggesting is that we have that
gate in place but then allow any OID to be used if you've crossed that
gate?
That is, if we do something like:
SELECT pg_catalog.binary_upgrade_allow_setting_db_oid();
CREATE DATABASE blah WITH OID 1234;
for pg_upgrade, well, users who are interested may well figure out how
to do that themselves if they decide they want to set the OID, whereas
if it 'just works' provided they don't try to use an OID too low then
maybe they won't try to bypass the restriction against using system
OIDs..?
Ok, I'll give you that this is a stretch and I'm on the fence about if
it's worthwhile or not to include and document and if, as you say, it's
inviting trouble to allow users to set it. Users do seem to have a
knack for finding things even when they aren't documented and then we
get to deal with those complaints too. :)
Perhaps others have some stronger feelings one way or another.
Thanks,
Stephen
On Thu, Aug 26, 2021 at 12:34:56PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:36:51AM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.I'm a bit confused why this question keeps coming up as we've discussed
multiple reasons (incremental backups, possible use for TDE which wouldI have not seen much explaination on pgBackRest, except me mentioning
it. Is this something really useful?Being able to quickly perform a backup on a newly upgraded cluster would
certainly be valuable and that's definitely not possible today due to
all of the filenames changing.
You mean incremental backup, right? I was told this by the pgBackRest
developers during PGCon, but I have not heard that stated publicly, so I
hate to go just on what I heard rather than seeing that stated publicly.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.
Well, I would think we would not add this for TDE until we were sure
someone was working on adding TDE.
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional codeHow? I am not aware of any advantage except cosmetic.
Having to resort to matching up inode numbers between the two clusters
after a pg_upgrade to figure out what files are actually the same
underneath is a pain that goes beyond just cosmetics imv. Removing that
additional level that admins, and developers for that matter, have to go
through would be a nice improvement on its own.
OK, I was just not aware anyone did that, since I have never hard anyone
complain about it before.
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.I feel that this, along with the prior discussions, spells it out
sufficiently given the patch's complexity looks to be reasonably minor
and very similar to the existing things that pg_upgrade already does.
Had pg_upgrade done this in the first place, I don't think there would
have been nearly this amount of discussion about it.
Well, there is a reason pg_upgrade didn't initially do this --- because
it adds complexity, and potentially makes future changes to pg_upgrade
necessary if the server behavior changes.
I am not saying this change is wrong, but I think the reasons need to be
stated in this thread, rather than just moving forward.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 12:37:19PM -0400, Robert Haas wrote:
On Thu, Aug 26, 2021 at 11:48 AM Bruce Momjian <bruce@momjian.us> wrote:
I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.I don't think it's going to be all that complicated, but we're going
to have to wait until we have something closer to a final patch before
we can really evaluate that. I am honestly a little puzzled about why
you think complexity is such a big issue for this patch in particular.
I feel we do probably several hundred things every release cycle that
are more complicated than this, so it doesn't seem like this is
particularly extraordinary or needs a lot of extra scrutiny. I do
think there is some risk that there are messy cases we can't handle
cleanly, but if that becomes an issue then I'll abandon the effort
until a solution can be found. I'm not trying to relentlessly drive
something through that is a bad idea on principle.I agree with all Stephen's comments, too.
I just don't want to add requirements/complexity to pg_upgrade without
clearly stated reasons because future database changes will need to
honor this new preservation behavior.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 12:34:56PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:36:51AM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 11:00:47AM -0400, Robert Haas wrote:
Anyone see a flaw in that analysis?
I am still waiting to hear the purpose of this preservation. As long as
you don't apply the patch, I guess I will just stop asking.I'm a bit confused why this question keeps coming up as we've discussed
multiple reasons (incremental backups, possible use for TDE which wouldI have not seen much explaination on pgBackRest, except me mentioning
it. Is this something really useful?Being able to quickly perform a backup on a newly upgraded cluster would
certainly be valuable and that's definitely not possible today due to
all of the filenames changing.You mean incremental backup, right? I was told this by the pgBackRest
developers during PGCon, but I have not heard that stated publicly, so I
hate to go just on what I heard rather than seeing that stated publicly.
Yes, we're talking about either incremental (or perhaps differential)
backup where only the files which are actually different would be backed
up. Just like with PG, I can't provide any complete guarantees that
we'd be able to actually make this possible after a major version with
pgBackRest with this change, but it definitely isn't possible *without*
this change. I can't see any reason why we wouldn't be able to do a
checksum-based incremental backup though (which would be *much* faster
than a regular backup) once this change is made and have that be a
reliable and trustworthy backup. I'd want to think about it more and
discuss it with David in some detail before saying if we could maybe
perform a timestamp-based incremental backup (without checksum'ing the
files, as we do in normal situations), but that would really just be a
bonus.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.Well, I would think we would not add this for TDE until we were sure
someone was working on adding TDE.
That this would help with TDE is what I'd consider an added bonus.
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional codeHow? I am not aware of any advantage except cosmetic.
Having to resort to matching up inode numbers between the two clusters
after a pg_upgrade to figure out what files are actually the same
underneath is a pain that goes beyond just cosmetics imv. Removing that
additional level that admins, and developers for that matter, have to go
through would be a nice improvement on its own.OK, I was just not aware anyone did that, since I have never hard anyone
complain about it before.
I've certainly done it and I'd be kind of surprised if others haven't,
but I've also played a lot with pg_dump in various modes, so perhaps
that's not a great representation. I've definitely had to explain to
clients why there's a whole different set of filenames after a
pg_upgrade and why that is the case for an 'in place' upgrade before
too.
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.I feel that this, along with the prior discussions, spells it out
sufficiently given the patch's complexity looks to be reasonably minor
and very similar to the existing things that pg_upgrade already does.
Had pg_upgrade done this in the first place, I don't think there would
have been nearly this amount of discussion about it.Well, there is a reason pg_upgrade didn't initially do this --- because
it adds complexity, and potentially makes future changes to pg_upgrade
necessary if the server behavior changes.
I have a very hard time seeing what changes might happen in the server
in this space that wouldn't have an impact on pg_upgrade, with or
without this.
I am not saying this change is wrong, but I think the reasons need to be
stated in this thread, rather than just moving forward.
Ok, they've been stated and it seems to at least Robert and myself that
this is worthwhile to at least continue through to a concluded patch,
after which we can contemplate that patch's complexity against these
reasons.
Thanks,
Stephen
On Thu, Aug 26, 2021 at 01:03:54PM -0400, Stephen Frost wrote:
Yes, we're talking about either incremental (or perhaps differential)
backup where only the files which are actually different would be backed
up. Just like with PG, I can't provide any complete guarantees that
we'd be able to actually make this possible after a major version with
pgBackRest with this change, but it definitely isn't possible *without*
this change. I can't see any reason why we wouldn't be able to do a
checksum-based incremental backup though (which would be *much* faster
than a regular backup) once this change is made and have that be a
reliable and trustworthy backup. I'd want to think about it more and
discuss it with David in some detail before saying if we could maybe
perform a timestamp-based incremental backup (without checksum'ing the
files, as we do in normal situations), but that would really just be a
bonus.
Well, it would be nice to know exactly how it would help pgBackRest if
that is one of the reasons we are adding this feature.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.Well, I would think we would not add this for TDE until we were sure
someone was working on adding TDE.That this would help with TDE is what I'd consider an added bonus.
Not if we have no plans to implement TDE, which was my point. Why not
wait to see if we are actually going to implement TDE rather than adding
it now. It is just so obvious, why do I have to state this?
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional codeHow? I am not aware of any advantage except cosmetic.
Having to resort to matching up inode numbers between the two clusters
after a pg_upgrade to figure out what files are actually the same
underneath is a pain that goes beyond just cosmetics imv. Removing that
additional level that admins, and developers for that matter, have to go
through would be a nice improvement on its own.OK, I was just not aware anyone did that, since I have never hard anyone
complain about it before.I've certainly done it and I'd be kind of surprised if others haven't,
but I've also played a lot with pg_dump in various modes, so perhaps
that's not a great representation. I've definitely had to explain to
clients why there's a whole different set of filenames after a
pg_upgrade and why that is the case for an 'in place' upgrade before
too.
Uh, so I guess I am right that few people have mentioned this in the
past. Why were users caring about the file names?
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.I feel that this, along with the prior discussions, spells it out
sufficiently given the patch's complexity looks to be reasonably minor
and very similar to the existing things that pg_upgrade already does.
Had pg_upgrade done this in the first place, I don't think there would
have been nearly this amount of discussion about it.Well, there is a reason pg_upgrade didn't initially do this --- because
it adds complexity, and potentially makes future changes to pg_upgrade
necessary if the server behavior changes.I have a very hard time seeing what changes might happen in the server
in this space that wouldn't have an impact on pg_upgrade, with or
without this.
I don't know, but I have to ask since I can't know the future, so any
"preseration" has to be studied.
I am not saying this change is wrong, but I think the reasons need to be
stated in this thread, rather than just moving forward.Ok, they've been stated and it seems to at least Robert and myself that
this is worthwhile to at least continue through to a concluded patch,
after which we can contemplate that patch's complexity against these
reasons.
OK, that works for me. What bothers me is that the Desirability of this
changes has not be clearly stated in this thread.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 12:51 PM Bruce Momjian <bruce@momjian.us> wrote:
I just don't want to add requirements/complexity to pg_upgrade without
clearly stated reasons because future database changes will need to
honor this new preservation behavior.
Well, I agree that it's good to have reasons clearly stated and I hope
that at this point you agree that they have been. Whether you agree
with them is another question, but I hope you at least agree that they
have been stated.
As far as the other part of your concern, what I think makes this
change pretty safe is that we are preserving more things rather than
fewer. I can imagine some server behavior depending on something being
the same between the old and the new clusters, but it is harder to
imagine a dependency on something not being preserved. For example, we
know that the OIDs of pg_type rows have to be the same in the old and
new cluster because arrays are stored on disk with the type OIDs
included. Therefore those need to be preserved. If in the future we
changed things so that arrays - and other container types - did not
include the type OIDs in the on-disk representation, then perhaps it
would no longer be necessary to preserve the OIDs of pg_type rows
across a pg_upgrade. However, it would not be harmful to do so. It
just might not be required.
So I think this proposed change is in the safe direction. If
relfilenodes were currently preserved and we wanted to make them not
be preserved, then I think you would be quite right to say "whoa,
whoa, that could be a problem." Indeed it could. If anyone then in the
future wanted to introduce a dependency on them staying the same, they
would have a problem. However, nothing in the server itself can care
about relfilenodes - or anything else - being *different* across a
pg_upgrade. The whole point of pg_upgrade is to make it feel like you
have the same database after you run it as you did before you ran it,
even though under the hood a lot of surgery has been done. Barring
bugs, you can never be sad about there being too LITTLE difference
between the post-upgrade database and the pre-upgrade database.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 01:03:54PM -0400, Stephen Frost wrote:
Yes, we're talking about either incremental (or perhaps differential)
backup where only the files which are actually different would be backed
up. Just like with PG, I can't provide any complete guarantees that
we'd be able to actually make this possible after a major version with
pgBackRest with this change, but it definitely isn't possible *without*
this change. I can't see any reason why we wouldn't be able to do a
checksum-based incremental backup though (which would be *much* faster
than a regular backup) once this change is made and have that be a
reliable and trustworthy backup. I'd want to think about it more and
discuss it with David in some detail before saying if we could maybe
perform a timestamp-based incremental backup (without checksum'ing the
files, as we do in normal situations), but that would really just be a
bonus.Well, it would be nice to know exactly how it would help pgBackRest if
that is one of the reasons we are adding this feature.
pgBackRest keeps a manifest for every file in the PG data directory that
is backed up and we identify that file by the filename. Further, we
calculate a checksum for every file. If the filenames didn't change
then we'd be able to compare the file in the new cluster against the
file and checksum in the manifest in order to be able to perform the
incremental/differential backup. We don't store the inodes in the
manifest though, and we don't have any concept of looking at multiple
data directories at the same time or anything like that (which would
also mean that the old data directory would have to be kept around for
that to even work, which seems like a good bit of additional
complication and risk that someone might start up the old cluster by
accident..).
That's how it'd be very helpful to pgBackRest for the filenames to be
preserved across pg_upgrade's.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.Well, I would think we would not add this for TDE until we were sure
someone was working on adding TDE.That this would help with TDE is what I'd consider an added bonus.
Not if we have no plans to implement TDE, which was my point. Why not
wait to see if we are actually going to implement TDE rather than adding
it now. It is just so obvious, why do I have to state this?
There's been multiple years of effort put into implementing TDE and I'm
sure hopeful that it continues as I'm trying to put effort into moving
it forward myself. I'm a bit baffled by the idea that we're just
suddenly going to stop putting effort into TDE as it is brought up time
and time again by clients that I've talked to as one of the few reasons
they haven't moved to PG yet- I can't believe that hasn't been
experienced by folks at other organizations too, I mean, there's people
maintaining forks of PG specifically for TDE ...
Seems like maybe we were both seeing something as obvious to the other
that wasn't actually the case.
make this required, general improved sanity when working with pg_upgrade
is frankly a benefit in its own right too...). If the additional codeHow? I am not aware of any advantage except cosmetic.
Having to resort to matching up inode numbers between the two clusters
after a pg_upgrade to figure out what files are actually the same
underneath is a pain that goes beyond just cosmetics imv. Removing that
additional level that admins, and developers for that matter, have to go
through would be a nice improvement on its own.OK, I was just not aware anyone did that, since I have never hard anyone
complain about it before.I've certainly done it and I'd be kind of surprised if others haven't,
but I've also played a lot with pg_dump in various modes, so perhaps
that's not a great representation. I've definitely had to explain to
clients why there's a whole different set of filenames after a
pg_upgrade and why that is the case for an 'in place' upgrade before
too.Uh, so I guess I am right that few people have mentioned this in the
past. Why were users caring about the file names?
This is a bit baffling to me. Users and admins certainly care about
what files their data is stored in and knowing how to find them.
Covering the data directory structure is a commonly asked for part of
the training that I regularly do for clients.
was a huge burden or even a moderate one then that might be an argument
against, but it hardly sounds like it will be given Robert's thorough
analysis so far and the (admittedly not complete, but not that far from
it based on the DB OID review) proposed patch.I am find to add it if it is minor, but I want to see the calculus of
its value vs complexity, which I have not seen spelled out.I feel that this, along with the prior discussions, spells it out
sufficiently given the patch's complexity looks to be reasonably minor
and very similar to the existing things that pg_upgrade already does.
Had pg_upgrade done this in the first place, I don't think there would
have been nearly this amount of discussion about it.Well, there is a reason pg_upgrade didn't initially do this --- because
it adds complexity, and potentially makes future changes to pg_upgrade
necessary if the server behavior changes.I have a very hard time seeing what changes might happen in the server
in this space that wouldn't have an impact on pg_upgrade, with or
without this.I don't know, but I have to ask since I can't know the future, so any
"preseration" has to be studied.
We can gain, perhaps, some insight looking into the past and that seems
to indicate that this is certainly a very stable part of the server code
in the first place, which would imply that it's unlikely that there'll
be much need to adjust this code in the future in the first place.
I am not saying this change is wrong, but I think the reasons need to be
stated in this thread, rather than just moving forward.Ok, they've been stated and it seems to at least Robert and myself that
this is worthwhile to at least continue through to a concluded patch,
after which we can contemplate that patch's complexity against these
reasons.OK, that works for me. What bothers me is that the Desirability of this
changes has not be clearly stated in this thread.
I hope that this email and the many many prior ones have gotten across
the desirability of the change.
Thanks,
Stephen
On Thu, Aug 26, 2021 at 01:20:38PM -0400, Robert Haas wrote:
So I think this proposed change is in the safe direction. If
relfilenodes were currently preserved and we wanted to make them not
be preserved, then I think you would be quite right to say "whoa,
whoa, that could be a problem." Indeed it could. If anyone then in the
future wanted to introduce a dependency on them staying the same, they
would have a problem. However, nothing in the server itself can care
about relfilenodes - or anything else - being *different* across a
pg_upgrade. The whole point of pg_upgrade is to make it feel like you
have the same database after you run it as you did before you ran it,
even though under the hood a lot of surgery has been done. Barring
bugs, you can never be sad about there being too LITTLE difference
between the post-upgrade database and the pre-upgrade database.
Yes, this makes sense, and it is good we have stated the possible
benefits now:
* pgBackRest
* pg_upgrade diagnostics
* TDE (maybe)
We can eventually evaluate the value of this based on those items.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Aug 26, 2021 at 01:24:46PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Aug 26, 2021 at 01:03:54PM -0400, Stephen Frost wrote:
Yes, we're talking about either incremental (or perhaps differential)
backup where only the files which are actually different would be backed
up. Just like with PG, I can't provide any complete guarantees that
we'd be able to actually make this possible after a major version with
pgBackRest with this change, but it definitely isn't possible *without*
this change. I can't see any reason why we wouldn't be able to do a
checksum-based incremental backup though (which would be *much* faster
than a regular backup) once this change is made and have that be a
reliable and trustworthy backup. I'd want to think about it more and
discuss it with David in some detail before saying if we could maybe
perform a timestamp-based incremental backup (without checksum'ing the
files, as we do in normal situations), but that would really just be a
bonus.Well, it would be nice to know exactly how it would help pgBackRest if
that is one of the reasons we are adding this feature.pgBackRest keeps a manifest for every file in the PG data directory that
is backed up and we identify that file by the filename. Further, we
calculate a checksum for every file. If the filenames didn't change
then we'd be able to compare the file in the new cluster against the
file and checksum in the manifest in order to be able to perform the
incremental/differential backup. We don't store the inodes in the
manifest though, and we don't have any concept of looking at multiple
data directories at the same time or anything like that (which would
also mean that the old data directory would have to be kept around for
that to even work, which seems like a good bit of additional
complication and risk that someone might start up the old cluster by
accident..).That's how it'd be very helpful to pgBackRest for the filenames to be
preserved across pg_upgrade's.
OK, that is clear.
As far as TDE, I haven't seen any concrete plan for that, so why add
this code for that reason?That this would help with TDE (of which there seems little doubt...) is
an additional benefit to this. Specifically, taking the existing work
that's already been done to allow block-by-block encryption and
adjusting it for AES-XTS and then using the db-dir+relfileno+block
number as the IV, just like many disk encryption systems do, avoids the
concerns that were brought up about using LSN for the IV with CTR and
it's certainly not difficult to do, but it does depend on this change.
This was all discussed previously and it sure looks like a sensible
approach to use that mirrors what many other systems already do
successfully.Well, I would think we would not add this for TDE until we were sure
someone was working on adding TDE.That this would help with TDE is what I'd consider an added bonus.
Not if we have no plans to implement TDE, which was my point. Why not
wait to see if we are actually going to implement TDE rather than adding
it now. It is just so obvious, why do I have to state this?There's been multiple years of effort put into implementing TDE and I'm
sure hopeful that it continues as I'm trying to put effort into moving
it forward myself. I'm a bit baffled by the idea that we're just
Well, this is the first time I am hearing this publicly.
suddenly going to stop putting effort into TDE as it is brought up time
and time again by clients that I've talked to as one of the few reasons
they haven't moved to PG yet- I can't believe that hasn't been
experienced by folks at other organizations too, I mean, there's people
maintaining forks of PG specifically for TDE ...
Agreed.
I've certainly done it and I'd be kind of surprised if others haven't,
but I've also played a lot with pg_dump in various modes, so perhaps
that's not a great representation. I've definitely had to explain to
clients why there's a whole different set of filenames after a
pg_upgrade and why that is the case for an 'in place' upgrade before
too.Uh, so I guess I am right that few people have mentioned this in the
past. Why were users caring about the file names?This is a bit baffling to me. Users and admins certainly care about
what files their data is stored in and knowing how to find them.
Covering the data directory structure is a commonly asked for part of
the training that I regularly do for clients.
I just never thought people cared about the file names, since I have
never heard a complaint about how pg_upgrade works all these years.
I have a very hard time seeing what changes might happen in the server
in this space that wouldn't have an impact on pg_upgrade, with or
without this.I don't know, but I have to ask since I can't know the future, so any
"preseration" has to be studied.We can gain, perhaps, some insight looking into the past and that seems
to indicate that this is certainly a very stable part of the server code
in the first place, which would imply that it's unlikely that there'll
be much need to adjust this code in the future in the first place.
Good, it have to ask.
I am not saying this change is wrong, but I think the reasons need to be
stated in this thread, rather than just moving forward.Ok, they've been stated and it seems to at least Robert and myself that
this is worthwhile to at least continue through to a concluded patch,
after which we can contemplate that patch's complexity against these
reasons.OK, that works for me. What bothers me is that the Desirability of this
changes has not be clearly stated in this thread.I hope that this email and the many many prior ones have gotten across
the desirability of the change.
Yes, I think we are in a better position now to evaluate this.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi, community,
It looks like we are still considering AES-CBC, AES-XTS, and
AES-GCM(-SIV). I want to say something that we don't think about.
For AES-CBC, the IV should be not predictable. I think LSN or HASH(LSN,
block number or something) is predictable. There are many CVE related to
AES-CBC with a predictable IV.
https://cwe.mitre.org/data/definitions/329.html
For AES-XTS, use block number or any fixed variable as tweak still has
weaknesses similar to IV reuse (in CBC not GCM). the attacker can
decrypt one block if he knows a kind of plaintext of this block.
In Luks/BitLocker/HardwareBasedSolution, the physical location is not
available to the user. filesystem running in kernel space. and they not
do encrypt when filesystem allocating a data block.
But in PostgreSQL, the attacker can capture an encrypted 'ALL-ZERO' page
in `mdextend`, with this, the attacker can decode the ciphertext of all
following data in this block.
For AES-GCM, a predictable IV is fine. I think we can decrypt and
re-encrypt the user data in pg_upgrade. this will allows us to use
relfile oid + block number as nonce.
Attachments:
在 2021/9/5 下午10:51, Sasasu 写道:
For AES-GCM, a predictable IV is fine. I think we can decrypt and
re-encrypt the user data in pg_upgrade. this will allows us to use
relfile oid + block number as nonce.
relfile oid + block number + some counter for heap table IV. I mean.
Attachments:
On Tue, Aug 24, 2021 at 2:27 AM Robert Haas <robertmhaas@gmail.com> wrote:
It's pretty clear from the discussion, I think, that the database OID
one is going to need rework to be considered.Regarding the other one:
- The comment in binary_upgrade_set_pg_class_oids() is still not
accurate. You removed the sentence which says "Indexes cannot have
toast tables, so we need not make this probe in the index code path"
but the immediately preceding sentence is still inaccurate in at least
two ways. First, it only talks about tables, but the code now applies
to indexes. Second, it only talks about OIDs, but now also deals with
refilenodes. It's really important to fully update every comment that
might be affected by your changes!
The comment is updated.
- The SQL query in that function isn't completely correct. There is a
left join from pg_class to pg_index whose ON clause includes
"c.reltoastrelid = i.indrelid AND i.indisvalid." The reason it's
likely that is because it is possible, in corner cases, for a TOAST
table to have multiple TOAST indexes. I forget exactly how that
happens, but I think it might be like if a REINDEX CONCURRENTLY on the
TOAST table fails midway through, or something of that sort. Now if
that happens, the LEFT JOIN you added is going to cause the output to
contain multiple rows, because you didn't replicate the i.indisvalid
condition into that ON clause. And then it will fail. Apparently we
don't have a pg_upgrade test case for this scenario; we probably
should. Actually what I think would be even better than putting
i.indisvalid into that ON clause would be to join off of i.indrelid
rather than c.reltoastrelid.
The SQL query will not result in duplicate rows because the first join
filters the duplicate rows if any with the on clause ' i.indisvalid'
on it. The result of the first join is further left joined with pg_class and
pg_class will not have duplicate rows for a given oid.
- The code that decodes the various columns of this query does so in a
slightly different order than the query itself. It would be better to
make it match. Perhaps put relkind first in both cases. I might also
think about trying to make the column naming a bit more consistent,
e.g. relkind, relfilenode, toast_oid, toast_relfilenode,
toast_index_oid, toast_index_relfilenode.
Fixed.
- In heap_create(), the wording of the error messages is not quite
consistent. You have "relfilenode value not set when in binary upgrade
mode", "toast relfilenode value not set when in binary upgrade mode",
and "pg_class index relfilenode value not set when in binary upgrade
mode". Why does the last one mention pg_class when the other two
don't?
The error message is made consistent. This code chuck is moved to a different
place as a part of another review comment fix.
- The code in heap_create() now has no comments whatsoever, which is a
shame, because it's actually kind of a tricky bit of logic. Someone
might wonder why we override the relfilenode inside that function
instead of doing it at the same places where we absorb
binary_upgrade_next_{heap,index,toast}_pg_class_oid and the passing
down the relfilenode. I think the answer is that passing down the
relfilenode from the caller would result in storage not actually being
created, whereas in this case we want it to be created but just with
the value we specify, and the reason we want that is because we need
later DDL that happens after these statements but before the old
cluster's relations are moved over to execute successfully, which it
won't if the storage is altogether absent.
However, that raises the question of whether this patch has even got
the basic design right. Maybe we ought to actually be absorbing the
relfilenode setting at the same places where we're doing so for the
OID, and then passing an additional parameter to heap_create() like
bool suppress_storage or something like that. Maybe, taking it even
further, we ought to be changing the signatures of
binary_upgrade_next_heap_pg_class_oid and friends to be two-argument
functions, and pass down the OID and the relfilenode in the same call,
rather than calling two separate functions. I'm not so much concerned
about the cost of calling two functions as the potential for
confusion. I'm not honestly sure that either of these changes are the
right thing to do, but I am pretty strongly inclined to do at least
the first part - trying to absorb reloid and relfilenode in the same
places. If we're not going to do that we certainly need to explain why
we're doing it the way we are in the comments.
As per your suggestion, reloid and relfilenode are absorbed in the same place.
An additional parameter called 'suppress_storage' is passed to heap_create()
which indicates whether or not to create the storage when the caller
passed a valid relfilenode.
I did not make the changes to set the oid and relfilenode in the same call.
I feel the uniformity w.r.t the other function signatures in
pg_upgrade_support.c will be lost because currently each function sets
only one attribute.
Also, renaming the applicable function names to represent that they
set both oid and relfilenode will make the function name even longer.
We may opt to not include the relfilenode in the function name instead
use a generic name like binary_upgrade_set_next_xxx_pg_class_oid() but
then
we will end up with some functions that set two attributes and some
functions that set one attribute.
It's not really this patch's fault, but it would sure be nice if we
had some better testing for this area. Suppose this patch somehow
changed nothing from the present behavior. How would we know? Or
suppose it managed to somehow set all the relfilenodes in the new
cluster to random values rather than the intended one? There's no
automated testing that would catch any of that, and it's not obvious
how it could be added to test.sh. I suppose what we really need to do
at some point is rewrite that as a TAP test, but that seems like a
separate project from this patch.
I have verified the table, index, toast table and toast index
relfilenode and DB oid in old and new cluster manually and it is
working as expected.
I have also attached the patch to preserve the DB oid. As discussed,
template0 will be created with a fixed oid during initdb. I am using
OID 2 for template0. Even though oid 2 is already in use for the
'pg_am' catalog I see no harm in using it for template0 DB because oid
doesn’t have to be unique across the database - it has to be unique
for the particular catalog table. Kindly let me know if I am missing
something?
Apparently, if we did decide to pick an unused oid for template0 then
I see a challenge in removing that oid from the unused oid list. I
could not come up with a feasible solution for handling it.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v3-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchapplication/octet-stream; name=v3-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchDownload
From 2c00a37c4a3a00bb765232fea64e2bc02bfc8129 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Wed, 22 Sep 2021 23:33:41 +0530
Subject: [PATCH v3 1/2] Preserve relfilenode and tablespace OID in pg_upgrade
The patch aims to preserve the OIDs of relfilenode and tablespace during binary
upgrade so that the OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 72 ++++++++++++--
src/backend/catalog/index.c | 22 ++++-
src/backend/commands/tablespace.c | 17 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 +++++++++
src/bin/pg_dump/pg_dump.c | 104 +++++++++++++--------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
12 files changed, 252 insertions(+), 62 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index 5fcd004..6560b19 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 83746d3..851a4e2 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -286,7 +288,10 @@ SystemAttributeByName(const char *attname)
*
* Note API change: the caller must now always provide the OID
* to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * should) be left unspecified unless explicitly set in binary-upgrade mode.
+ *
+ * suppress_storage indicates whether or not to create the storage if the
+ * caller passed a valid relfilenode.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,7 +311,8 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool suppress_storage)
{
bool create_storage;
Relation rel;
@@ -367,16 +373,22 @@ heap_create(const char *relname,
}
/*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
+ * Decide whether to create storage. If suppress_storage is true and a
+ * valid relfilenode is passed, storage is already created, so don't do it
+ * here. If suppress_storage is false and relfilenode is valid, create the
+ * storage with the specified relfilenode. If relfilenode is unspecified
+ * by the caller then create the storage with oid same as relid. Also,
+ * don't create it for relkinds without physical storage.
*/
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ if (!RELKIND_HAS_STORAGE(relkind) || (OidIsValid(relfilenode) && suppress_storage))
create_storage = false;
else
{
create_storage = true;
- relfilenode = relid;
+
+ /* Initialize relfilenode to relid */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1168,8 +1180,12 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool suppress_storage = true;
pg_class_desc = table_open(RelationRelationId, RowExclusiveLock);
@@ -1230,7 +1246,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade &&
(relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
relkind == RELKIND_VIEW || relkind == RELKIND_MATVIEW ||
@@ -1244,7 +1260,27 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ /*
+ * Override the relfilenode and set the suppress_storage flag to
+ * false so that the storage gets created with the specified
+ * relfilenode during heap_create().
+ */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+
+ suppress_storage = false;
+ }
}
+
/* There might be no TOAST table, so we have to test for it. */
else if (IsBinaryUpgrade &&
OidIsValid(binary_upgrade_next_toast_pg_class_oid) &&
@@ -1252,6 +1288,21 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ /*
+ * Override the toast relfilenode and set the suppress_storage
+ * flag to false so that the storage gets created with the
+ * specified relfilenode during heap_create().
+ */
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
+
+ suppress_storage = false;
}
else
relid = GetNewRelFileNode(reltablespace, pg_class_desc,
@@ -1294,7 +1345,7 @@ heap_create_with_catalog(const char *relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1303,7 +1354,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ suppress_storage);
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 26bfa74..56a4ef9 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -86,6 +86,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -732,6 +733,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool suppress_storage = true;
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -903,7 +905,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -913,6 +915,21 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /*
+ * Overide the relfilenode and set the suppress_storage to false
+ * so that the storage gets created with the specified relfilenode
+ * during heap_create().
+ */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+
+ suppress_storage = false;
}
else
{
@@ -939,7 +956,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ suppress_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 4b96eec..51ffa97 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,8 +336,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..135c382 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index a485fb2..b148919 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4693,73 +4693,101 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index c291017..618187c 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1265,6 +1265,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..acaf343 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..4ba5748 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 6ce480b..2008758 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool suppress_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index d068d65..cd0a20d 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4544', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1ee65ed 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
v3-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v3-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From dc0a50b5513c38bfa0d1356c370475edec0b49cf Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Wed, 22 Sep 2021 23:36:41 +0530
Subject: [PATCH v3 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs during binary upgrade
so that the database OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 ++++++++++++++-
src/backend/commands/dbcommands.c | 35 ++++++++++++++++++++++++++++++-----
src/backend/parser/gram.y | 3 ++-
src/bin/initdb/initdb.c | 21 +++++++++++++--------
src/bin/pg_dump/pg_dump.c | 16 ++++++++++++++--
src/bin/psql/tab-complete.c | 2 +-
6 files changed, 74 insertions(+), 18 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..3865a96 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">db_oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The oid value should be greater than 16383. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..0251157 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("Consider using a value greater than %u.",
+ (FirstNormalObjectId - 1)));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /* Select an OID for the new database if is not explicitly configured. */
+ if (!OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index e3068a3..b265959 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -687,7 +687,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10254,6 +10254,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 1ed4808..a5d88f1 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -1836,15 +1836,12 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Create template0 database with fixed OID 2
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID 2;\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1877,6 +1874,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index b148919..47c657e 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2957,8 +2957,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propogate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 5cd5838..396b4c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2516,7 +2516,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
--
1.8.3.1
On Wed, Sep 22, 2021 at 3:07 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
- The comment in binary_upgrade_set_pg_class_oids() is still not
accurate. You removed the sentence which says "Indexes cannot have
toast tables, so we need not make this probe in the index code path"
but the immediately preceding sentence is still inaccurate in at least
two ways. First, it only talks about tables, but the code now applies
to indexes. Second, it only talks about OIDs, but now also deals with
refilenodes. It's really important to fully update every comment that
might be affected by your changes!The comment is updated.
Looks good.
The SQL query will not result in duplicate rows because the first join
filters the duplicate rows if any with the on clause ' i.indisvalid'
on it. The result of the first join is further left joined with pg_class and
pg_class will not have duplicate rows for a given oid.
Oh, you're right. My mistake.
As per your suggestion, reloid and relfilenode are absorbed in the same place.
An additional parameter called 'suppress_storage' is passed to heap_create()
which indicates whether or not to create the storage when the caller
passed a valid relfilenode.
I find it confusing to have both suppress_storage and create_storage
with one basically as the negation of the other. To avoid that sort of
thing I generally have a policy that variables and options should say
whether something should happen, rather than whether it should be
prevented from happening. Sometimes there are good reasons - such as
strong existing precedent - to deviate from this practice but I think
it's good to follow when possible. So my proposal is to always have
create_storage and never suppress_storage, and if some function needs
to adjust the value of create_storage that was passed to it then OK.
I did not make the changes to set the oid and relfilenode in the same call.
I feel the uniformity w.r.t the other function signatures in
pg_upgrade_support.c will be lost because currently each function sets
only one attribute.
Also, renaming the applicable function names to represent that they
set both oid and relfilenode will make the function name even longer.
We may opt to not include the relfilenode in the function name instead
use a generic name like binary_upgrade_set_next_xxx_pg_class_oid() but
then
we will end up with some functions that set two attributes and some
functions that set one attribute.
OK.
I have also attached the patch to preserve the DB oid. As discussed,
template0 will be created with a fixed oid during initdb. I am using
OID 2 for template0. Even though oid 2 is already in use for the
'pg_am' catalog I see no harm in using it for template0 DB because oid
doesn’t have to be unique across the database - it has to be unique
for the particular catalog table. Kindly let me know if I am missing
something?
Apparently, if we did decide to pick an unused oid for template0 then
I see a challenge in removing that oid from the unused oid list. I
could not come up with a feasible solution for handling it.
You are correct that there is no intrinsic reason why the same OID
can't be used in various different catalogs. We have a policy of not
doing that, though; I'm not clear on the reason. Maybe it'd be OK to
deviate from that policy here, but another option would be to simply
change the unused_oids script (and maybe some of the others). It
already has:
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
push @{$oids}, $FirstGenbkiObjectId;
Presumably it could be easily adapted to push the value of some other
defined symbol into @{$oids} also, thus making that OID in effect
used.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Sun, Sep 5, 2021 at 10:51:42PM +0800, Sasasu wrote:
Hi, community,
It looks like we are still considering AES-CBC, AES-XTS, and AES-GCM(-SIV).
I want to say something that we don't think about.For AES-CBC, the IV should be not predictable. I think LSN or HASH(LSN,
block number or something) is predictable. There are many CVE related to
AES-CBC with a predictable IV.
The LSN would change every time the page is modified, so while the LSN
could be predicted, it would not be reused. However, there is currently
no work being done on page-level encryption of Postgres.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
On Sun, Sep 5, 2021 at 10:51:42PM +0800, Sasasu wrote:
Hi, community,
It looks like we are still considering AES-CBC, AES-XTS, and
AES-GCM(-SIV).
I want to say something that we don't think about.
For AES-CBC, the IV should be not predictable. I think LSN or HASH(LSN,
block number or something) is predictable. There are many CVE related to
AES-CBC with a predictable IV.The LSN would change every time the page is modified, so while the LSN
could be predicted, it would not be reused. However, there is currently
no work being done on page-level encryption of Postgres.
We are still working on our TDE patch. Right now the focus is on
refactoring temporary file access to make the TDE patch itself smaller.
Reconsidering encryption mode choices given concerns expressed is next.
Currently a viable option seems to be AES-XTS with LSN added into the IV.
XTS doesn't have an issue with predictable IV and isn't totally broken in
case of IV reuse.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
On Fri, Sep 24, 2021 at 12:44 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Wed, Sep 22, 2021 at 3:07 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
- The comment in binary_upgrade_set_pg_class_oids() is still not
accurate. You removed the sentence which says "Indexes cannot have
toast tables, so we need not make this probe in the index code path"
but the immediately preceding sentence is still inaccurate in at least
two ways. First, it only talks about tables, but the code now applies
to indexes. Second, it only talks about OIDs, but now also deals with
refilenodes. It's really important to fully update every comment that
might be affected by your changes!The comment is updated.
Looks good.
The SQL query will not result in duplicate rows because the first join
filters the duplicate rows if any with the on clause ' i.indisvalid'
on it. The result of the first join is further left joined with pg_class and
pg_class will not have duplicate rows for a given oid.Oh, you're right. My mistake.
As per your suggestion, reloid and relfilenode are absorbed in the same place.
An additional parameter called 'suppress_storage' is passed to heap_create()
which indicates whether or not to create the storage when the caller
passed a valid relfilenode.I find it confusing to have both suppress_storage and create_storage
with one basically as the negation of the other. To avoid that sort of
thing I generally have a policy that variables and options should say
whether something should happen, rather than whether it should be
prevented from happening. Sometimes there are good reasons - such as
strong existing precedent - to deviate from this practice but I think
it's good to follow when possible. So my proposal is to always have
create_storage and never suppress_storage, and if some function needs
to adjust the value of create_storage that was passed to it then OK.
Sure, I agree. In the latest patch, only 'create_storage' is used.
I did not make the changes to set the oid and relfilenode in the same call.
I feel the uniformity w.r.t the other function signatures in
pg_upgrade_support.c will be lost because currently each function sets
only one attribute.
Also, renaming the applicable function names to represent that they
set both oid and relfilenode will make the function name even longer.
We may opt to not include the relfilenode in the function name instead
use a generic name like binary_upgrade_set_next_xxx_pg_class_oid() but
then
we will end up with some functions that set two attributes and some
functions that set one attribute.OK.
I have also attached the patch to preserve the DB oid. As discussed,
template0 will be created with a fixed oid during initdb. I am using
OID 2 for template0. Even though oid 2 is already in use for the
'pg_am' catalog I see no harm in using it for template0 DB because oid
doesn’t have to be unique across the database - it has to be unique
for the particular catalog table. Kindly let me know if I am missing
something?
Apparently, if we did decide to pick an unused oid for template0 then
I see a challenge in removing that oid from the unused oid list. I
could not come up with a feasible solution for handling it.You are correct that there is no intrinsic reason why the same OID
can't be used in various different catalogs. We have a policy of not
doing that, though; I'm not clear on the reason. Maybe it'd be OK to
deviate from that policy here, but another option would be to simply
change the unused_oids script (and maybe some of the others). It
already has:my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
push @{$oids}, $FirstGenbkiObjectId;Presumably it could be easily adapted to push the value of some other
defined symbol into @{$oids} also, thus making that OID in effect
used.
Thanks for the inputs, Robert. In the v4 patch, an unused OID (i.e, 4)
is fixed for the template0 and the same is removed from unused oid
list.
In addition to the review comment fixes, I have removed some code that
is no longer needed/doesn't make sense since we preserve the OIDs.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v4-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchapplication/octet-stream; name=v4-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchDownload
From 7dd616333bd650c01c078885f3a8078c12fcd94c Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Mon, 4 Oct 2021 21:06:41 +0530
Subject: [PATCH v4 1/2] Preserve relfilenode and tablespace OID in pg_upgrade
The patch aims to preserve the tablespace, relfilenode OIDs during binary
upgrade so that the OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 76 ++++++++++++---
src/backend/catalog/index.c | 22 ++++-
src/backend/commands/tablespace.c | 17 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 +++++++++
src/bin/pg_dump/pg_dump.c | 104 +++++++++++++--------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/info.c | 31 +-----
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/bin/pg_upgrade/pg_upgrade.h | 10 +-
src/bin/pg_upgrade/relfilenode.c | 6 +-
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
15 files changed, 260 insertions(+), 105 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index 5fcd004..58b994c 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ false);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 83746d3..e45c61d 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -286,7 +288,10 @@ SystemAttributeByName(const char *attname)
*
* Note API change: the caller must now always provide the OID
* to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * should) be left unspecified unless explicitly set in binary-upgrade mode.
+ *
+ * create_storage indicates whether or not to create the storage if the
+ * caller passed a valid relfilenode.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,9 +311,9 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool create_storage)
{
- bool create_storage;
Relation rel;
/* The caller must have provided an OID for the relation. */
@@ -367,16 +372,25 @@ heap_create(const char *relname,
}
/*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
+ * Decide whether to create storage. If relfilenode is valid and
+ * create_storage is false, storage is already created, so don't do it
+ * here. If relfilenode is valid and create_storage is true, create the
+ * storage with the specified relfilenode. If relfilenode is unspecified
+ * by the caller then create the storage with oid same as relid. Also,
+ * don't create it for relkinds without physical storage.
*/
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ if (!RELKIND_HAS_STORAGE(relkind) || (OidIsValid(relfilenode) && !create_storage))
create_storage = false;
else
{
create_storage = true;
- relfilenode = relid;
+
+ /*
+ * Create the storage with oid same as relid if relfilenode is
+ * unspecified by the caller
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1168,8 +1182,12 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage = false;
pg_class_desc = table_open(RelationRelationId, RowExclusiveLock);
@@ -1230,7 +1248,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade &&
(relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
relkind == RELKIND_VIEW || relkind == RELKIND_MATVIEW ||
@@ -1244,7 +1262,27 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ /*
+ * Override the relfilenode and set the create_storage flag to
+ * true so that the storage gets created with the specified
+ * relfilenode during heap_create().
+ */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+
+ create_storage = true;
+ }
}
+
/* There might be no TOAST table, so we have to test for it. */
else if (IsBinaryUpgrade &&
OidIsValid(binary_upgrade_next_toast_pg_class_oid) &&
@@ -1252,6 +1290,21 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ /*
+ * Override the toast relfilenode and set the create_storage flag
+ * to true so that the storage gets created with the specified
+ * relfilenode during heap_create().
+ */
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
+
+ create_storage = true;
}
else
relid = GetNewRelFileNode(reltablespace, pg_class_desc,
@@ -1294,7 +1347,7 @@ heap_create_with_catalog(const char *relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1303,7 +1356,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 26bfa74..f167b10 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -86,6 +86,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -732,6 +733,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage = false;
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -903,7 +905,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -913,6 +915,21 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /*
+ * Overide the relfilenode and set the create_storage to true so
+ * that the storage gets created with the specified relfilenode
+ * during heap_create().
+ */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+
+ create_storage = true;
}
else
{
@@ -939,7 +956,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 4b96eec..51ffa97 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,8 +336,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..135c382 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index a485fb2..b148919 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4693,73 +4693,101 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index c291017..618187c 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1265,6 +1265,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 5d9a26c..775564e 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -199,14 +199,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->old_db_oid = old_db->db_oid;
map->new_db_oid = new_db->db_oid;
- /*
- * old_relfilenode might differ from pg_class.oid (and hence
- * new_relfilenode) because of CLUSTER, REINDEX, or VACUUM FULL.
- */
- map->old_relfilenode = old_rel->relfilenode;
-
- /* new_relfilenode will match old and new pg_class.oid */
- map->new_relfilenode = new_rel->relfilenode;
+ /* relfilenode is preserved across old and new cluster */
+ map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
map->nspname = old_rel->nspname;
@@ -278,27 +272,6 @@ report_unmatched_relation(const RelInfo *rel, const DbInfo *db, bool is_new_db)
reloid, db->db_name, reldesc);
}
-
-void
-print_maps(FileNameMap *maps, int n_maps, const char *db_name)
-{
- if (log_opts.verbose)
- {
- int mapnum;
-
- pg_log(PG_VERBOSE, "mappings for database \"%s\":\n", db_name);
-
- for (mapnum = 0; mapnum < n_maps; mapnum++)
- pg_log(PG_VERBOSE, "%s.%s: %u to %u\n",
- maps[mapnum].nspname, maps[mapnum].relname,
- maps[mapnum].old_relfilenode,
- maps[mapnum].new_relfilenode);
-
- pg_log(PG_VERBOSE, "\n\n");
- }
-}
-
-
/*
* get_db_and_rel_infos()
*
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..acaf343 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index ca0795f..c79ddfc 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -159,13 +159,7 @@ typedef struct
const char *new_tablespace_suffix;
Oid old_db_oid;
Oid new_db_oid;
-
- /*
- * old/new relfilenodes might differ for pg_largeobject(_metadata) indexes
- * due to VACUUM FULL or REINDEX. Other relfilenodes are preserved.
- */
- Oid old_relfilenode;
- Oid new_relfilenode;
+ Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
char *relname;
@@ -390,8 +384,6 @@ FileNameMap *gen_db_file_maps(DbInfo *old_db,
DbInfo *new_db, int *nmaps, const char *old_pgdata,
const char *new_pgdata);
void get_db_and_rel_infos(ClusterInfo *cluster);
-void print_maps(FileNameMap *maps, int n,
- const char *db_name);
/* option.c */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 4deae7d..3bc5b44 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -119,8 +119,6 @@ transfer_all_new_dbs(DbInfoArr *old_db_arr, DbInfoArr *new_db_arr,
new_pgdata);
if (n_maps)
{
- print_maps(mappings, n_maps, new_db->db_name);
-
transfer_single_new_db(mappings, n_maps, old_tablespace);
}
/* We allocate something even for n_maps == 0 */
@@ -206,14 +204,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
map->old_tablespace,
map->old_tablespace_suffix,
map->old_db_oid,
- map->old_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
map->new_db_oid,
- map->new_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..4ba5748 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 6ce480b..7cf5402 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool create_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index d068d65..cd0a20d 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4544', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1ee65ed 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
v4-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v4-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From c2d00b36558957782f5f4f75b6613a4c971d8ef0 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Mon, 4 Oct 2021 21:38:33 +0530
Subject: [PATCH v4 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs across binary upgrade
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 ++++++++++++++-
src/backend/commands/dbcommands.c | 35 ++++++++++++++++++++++++++++++-----
src/backend/parser/gram.y | 3 ++-
src/bin/initdb/initdb.c | 21 +++++++++++++--------
src/bin/pg_dump/pg_dump.c | 16 ++++++++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 +++------
src/bin/pg_upgrade/pg_upgrade.h | 3 +--
src/bin/pg_upgrade/relfilenode.c | 4 ++--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 +++
src/include/catalog/unused_oids | 5 +++++
12 files changed, 89 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..3865a96 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">db_oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The oid value should be greater than 16383. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..0251157 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("Consider using a value greater than %u.",
+ (FirstNormalObjectId - 1)));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /* Select an OID for the new database if is not explicitly configured. */
+ if (!OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index 08f1bf1..a8cdd43 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -687,7 +687,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10254,6 +10254,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 1ed4808..3ce3c59 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -1836,15 +1836,12 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Create template0 database with oid Template0ObjectId i.e, 4
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID 4;\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1877,6 +1874,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index b148919..47c657e 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2957,8 +2957,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propogate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 775564e..fe1357d 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -196,10 +196,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -330,8 +328,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2",
+ "ORDER BY 1",
/* 9.2 removed the spclocation column */
(GET_MAJOR_VERSION(cluster->major_version) <= 901) ?
"t.spclocation" : "pg_catalog.pg_tablespace_location(t.oid)");
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index c79ddfc..937c45b 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -157,8 +157,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 3bc5b44..a4fc298 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -203,14 +203,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 5cd5838..396b4c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2516,7 +2516,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index d22de19..716a319 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Templete0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 5b7ce5f..2750913 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
On Sun, Sep 5, 2021 at 10:51:42PM +0800, Sasasu wrote:
Hi, community,
It looks like we are still considering AES-CBC, AES-XTS, and AES-GCM
(-SIV).
I want to say something that we don't think about.
For AES-CBC, the IV should be not predictable. I think LSN or HASH(LSN,
block number or something) is predictable. There are many CVE related to
AES-CBC with a predictable IV.The LSN would change every time the page is modified, so while the LSN
could be predicted, it would not be reused. However, there is currently
no work being done on page-level encryption of Postgres.We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.
Sounds great, thanks!
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Ants Aasma (ants@cybertec.at) wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
On Sun, Sep 5, 2021 at 10:51:42PM +0800, Sasasu wrote:
It looks like we are still considering AES-CBC, AES-XTS, and
AES-GCM(-SIV).
I want to say something that we don't think about.
For AES-CBC, the IV should be not predictable. I think LSN or HASH(LSN,
block number or something) is predictable. There are many CVE related to
AES-CBC with a predictable IV.The LSN would change every time the page is modified, so while the LSN
could be predicted, it would not be reused. However, there is currently
no work being done on page-level encryption of Postgres.We are still working on our TDE patch. Right now the focus is on
refactoring temporary file access to make the TDE patch itself smaller.
Reconsidering encryption mode choices given concerns expressed is next.
Currently a viable option seems to be AES-XTS with LSN added into the IV.
XTS doesn't have an issue with predictable IV and isn't totally broken in
case of IV reuse.
Probably worth a distinct thread to discuss this, just to be clear.
I do want to point out, as I think I did when we discussed this but want
to be sure it's also captured here- I don't think that temporary file
access should be forced to be block-oriented when it's naturally (in
very many cases) sequential. To that point, I'm thinking that we need a
temp file access API through which various systems work that's
sequential and therefore relatively similar to the existing glibc, et
al, APIs, but by going through our own internal API (which more
consistently works with the glibc APIs and provides better error
reporting in the event of issues, etc) we can then extend it to work as
an encrypted stream instead.
Happy to discuss in more detail if you'd like but wanted to just bring
up this particular point, in case it got lost.
Thanks!
Stephen
On Mon, Oct 4, 2021 at 10:00 PM Stephen Frost <sfrost@snowman.net> wrote:
I do want to point out, as I think I did when we discussed this but want
to be sure it's also captured here- I don't think that temporary file
access should be forced to be block-oriented when it's naturally (in
very many cases) sequential. To that point, I'm thinking that we need a
temp file access API through which various systems work that's
sequential and therefore relatively similar to the existing glibc, et
al, APIs, but by going through our own internal API (which more
consistently works with the glibc APIs and provides better error
reporting in the event of issues, etc) we can then extend it to work as
an encrypted stream instead.
Regarding this, would it use block-oriented access on the backend?
I agree that we need a better API layer through which all filesystem
access is routed. One of the notable weaknesses of the Cybertec patch
is that it has too large a code footprint,
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Oct 5, 2021 at 1:24 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Oct 4, 2021 at 10:00 PM Stephen Frost <sfrost@snowman.net> wrote:
I do want to point out, as I think I did when we discussed this but want
to be sure it's also captured here- I don't think that temporary file
access should be forced to be block-oriented when it's naturally (in
very many cases) sequential. To that point, I'm thinking that we need a
temp file access API through which various systems work that's
sequential and therefore relatively similar to the existing glibc, et
al, APIs, but by going through our own internal API (which more
consistently works with the glibc APIs and provides better error
reporting in the event of issues, etc) we can then extend it to work as
an encrypted stream instead.Regarding this, would it use block-oriented access on the backend?
I agree that we need a better API layer through which all filesystem
access is routed. One of the notable weaknesses of the Cybertec patch
is that it has too large a code footprint,
(sent too soon)
...precisely because PostgreSQL doesn't have such a layer.
But I think ultimately we do want to encrypt and decrypt in blocks, so
if we create such a layer, it should expose byte-oriented APIs but
combine the actual I/Os somehow. That's also good for cutting down the
number of system calls, which is a benefit unto itself.
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> wrote:
On Tue, Oct 5, 2021 at 1:24 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Oct 4, 2021 at 10:00 PM Stephen Frost <sfrost@snowman.net> wrote:
I do want to point out, as I think I did when we discussed this but want
to be sure it's also captured here- I don't think that temporary file
access should be forced to be block-oriented when it's naturally (in
very many cases) sequential. To that point, I'm thinking that we need a
temp file access API through which various systems work that's
sequential and therefore relatively similar to the existing glibc, et
al, APIs, but by going through our own internal API (which more
consistently works with the glibc APIs and provides better error
reporting in the event of issues, etc) we can then extend it to work as
an encrypted stream instead.Regarding this, would it use block-oriented access on the backend?
I agree that we need a better API layer through which all filesystem
access is routed. One of the notable weaknesses of the Cybertec patch
is that it has too large a code footprint,(sent too soon)
...precisely because PostgreSQL doesn't have such a layer.
I'm just trying to make our changes to buffile.c less invasive. Or do you mean
that this module should be reworked regardless the encryption?
But I think ultimately we do want to encrypt and decrypt in blocks, so
if we create such a layer, it should expose byte-oriented APIs but
combine the actual I/Os somehow. That's also good for cutting down the
number of system calls, which is a benefit unto itself.
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.
Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.
Another problem caused by block mode ciphers is that to use the LSN as
part of the nonce, the LSN must not be encrypted, but you then have to
find a 16-byte block in the page that you don't need to encrypt.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.
The above text isn't very clear. What I am saying is that currently
torn pages can be tolerated by hint bit writes because only a single
byte is changing. If we use a block cipher like AES-XTS, later 16-byte
encrypted blocks would be changed by hint bit changes, meaning torn
pages could not be tolerated. This means we would have to use full page
writes for hint bit changes, perhaps making this feature have
unacceptable performance overhead.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Oct 5, 2021 at 1:55 PM Antonin Houska <ah@cybertec.at> wrote:
I'm just trying to make our changes to buffile.c less invasive. Or do you mean
that this module should be reworked regardless the encryption?
I wasn't thinking of buffile.c specifically. I think improving that
might be a really good idea, although I'm not 100% sure I know what
that would look like. I was thinking that it's unfortunate that there
are so many different ways that I/O happens overall. Like, there are
direct write() and pg_pwrite() calls in various places, for example.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Oct 5, 2021 at 4:29 PM Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.
This seems wrong to me. CTR requires that you not reuse the IV. If you
re-encrypt the page with a different IV, torn pages are a problem. If
you re-encrypt it with the same IV, then it's not secure any more.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Wed, Oct 6, 2021 at 9:35 AM Bruce Momjian <bruce@momjian.us> wrote:
The above text isn't very clear. What I am saying is that currently
torn pages can be tolerated by hint bit writes because only a single
byte is changing. If we use a block cipher like AES-XTS, later 16-byte
encrypted blocks would be changed by hint bit changes, meaning torn
pages could not be tolerated. This means we would have to use full page
writes for hint bit changes, perhaps making this feature have
unacceptable performance overhead.
Actually, I think this would have *less* performance overhead than your patch.
If you enable checksums or set wal_log_hints=on, then you might incur
a some write-ahead log records that would otherwise be avoided, and
those records will include full page images. This can happen once per
page per checkpoint cycle. However, if the first modification to a
particular page within a given checkpoint cycle is a regular
WAL-logged operation rather than a hint bit change, then the extra WAL
record and full-page image are not needed so the overhead is zero.
Also, if the first modification is a hint bit change, and then the
page is evicted, prompting a full page write, but a regular WAL-logged
operation occurs later within the same checkpoint, the later operation
no longer needs a full page write. So you still paid the cost of an
extra WAL record, but you didn't pay the cost of an extra full page
write. In other words, enabling checksums or turning wal_log_hints=on
has a relatively low cost except when you have pages that incur only
hint-type changes, and no regular changes, within the course of a
single checkpoint cycle.
On the other hand, in order to avoid IV reuse, your patch needed to
bump the page LSN for every change, or at least for every eviction.
That means you could potentially incur the overhead of an extra full
page write multiple times per checkpoint cycle, and even if there were
non-hint changes to that page in the same checkpoint cycle. Now you
could say, well, let's not bump the page LSN for every hint-type
change, and then your patch would have lower overhead than an approach
based on XTS, but I think that also loses a ton of security, because
now you're reusing IVs with an encryption system that is documented
not to tolerate the reuse of IVs.
I'm not here to try to pretend that encryption is going to be cheap. I
just don't believe this particular argument about why AES-XTS should
be more expensive.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Tue, Oct 5, 2021 at 1:24 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Oct 4, 2021 at 10:00 PM Stephen Frost <sfrost@snowman.net> wrote:
I do want to point out, as I think I did when we discussed this but want
to be sure it's also captured here- I don't think that temporary file
access should be forced to be block-oriented when it's naturally (in
very many cases) sequential. To that point, I'm thinking that we need a
temp file access API through which various systems work that's
sequential and therefore relatively similar to the existing glibc, et
al, APIs, but by going through our own internal API (which more
consistently works with the glibc APIs and provides better error
reporting in the event of issues, etc) we can then extend it to work as
an encrypted stream instead.Regarding this, would it use block-oriented access on the backend?
I agree that we need a better API layer through which all filesystem
access is routed. One of the notable weaknesses of the Cybertec patch
is that it has too large a code footprint,(sent too soon)
...precisely because PostgreSQL doesn't have such a layer.
But I think ultimately we do want to encrypt and decrypt in blocks, so
if we create such a layer, it should expose byte-oriented APIs but
combine the actual I/Os somehow. That's also good for cutting down the
number of system calls, which is a benefit unto itself.
I have to say that this seems to be moving the goalposts quite far down
the road from just developing a layer to allow for sequential reading
and writing to files that allows us to get away from bare write() calls.
While I agree that we want to encrypt/decrypt in blocks when we're
working with our own blocks, I don't know that it's really necessary to
do for these kinds of use cases. I appreciate the goal of reducing the
number of syscalls though.
Part of my concern here is that a patch which changes all of our
existing sequential access using write() and friends to work in a block
manner instead ends up probably being just as big and invasive as those
parts of the TDE patch which did the same, and it isn't actually
necessary as there are stream ciphers which we could certainly use for,
well, stream-based access patterns. No, that doesn't improve the
situation around the number of syscalls, but it also doesn't make that
any worse than it is today.
Perhaps this is all too meta and we need to work through some specific
ideas around just what this would look like. In particular, thinking
about what this API would look like and how it would be used by
reorderbuffer.c, which builds up changes in memory and then does a bare
write() call, seems like a main use-case to consider. The gist there
being "can we come up with an API to do all these things that doesn't
require entirely rewriting ReorderBufferSerializeChange()?"
Seems like it'd be easier to achieve that by having something that looks
very close to how write() looks, but just happens to have the option to
run the data through a stream cipher and maybe does better error
handling for us. Making that layer also do block-based access to the
files underneath seems like a much larger effort that, sure, may make
some things better too but if we could do that with the same API then it
could also be done later if someone's interested in that.
Thanks,
Stephen
On Wed, Oct 6, 2021 at 11:22 AM Stephen Frost <sfrost@snowman.net> wrote:
Seems like it'd be easier to achieve that by having something that looks
very close to how write() looks, but just happens to have the option to
run the data through a stream cipher and maybe does better error
handling for us. Making that layer also do block-based access to the
files underneath seems like a much larger effort that, sure, may make
some things better too but if we could do that with the same API then it
could also be done later if someone's interested in that.
Yeah, it's possible that is the best option, but I'm not really
convinced. I think the places that are doing I/O in small chunks are
pretty questionable. Like look at this code from pgstat.c, with block
comments omitted for brevity:
rc = fwrite(&format_id, sizeof(format_id), 1, fpout);
(void) rc; /* we'll check for error with ferror */
rc = fwrite(&globalStats, sizeof(globalStats), 1, fpout);
(void) rc; /* we'll check for error with ferror */
rc = fwrite(&archiverStats, sizeof(archiverStats), 1, fpout);
(void) rc; /* we'll check for error with ferror */
rc = fwrite(&walStats, sizeof(walStats), 1, fpout);
(void) rc; /* we'll check for error with ferror */
rc = fwrite(slruStats, sizeof(slruStats), 1, fpout);
(void) rc; /* we'll check for error with ferror */
I don't know exactly what the best way to write this code is, but I'm
fairly sure this isn't it. I suppose that whoever wrote this code
chose to use fwrite() rather than write() to get buffering, but that
had the effect of delaying the error checking by an amount that I
would consider unacceptable in new code -- we do all the fwrite()
calls to generate the entire file and then only check ferror() once at
the very end! If we did our own buffering, we could do this a lot
better. And if we used that same buffering layer everywhere, it might
not be too hard to make it use a block cipher rather than a stream
cipher. Now I don't intrinsically have strong feeling about whether
block ciphers or stream ciphers are better, but I think it's going to
be easier to analyze the security of the system and to maintain it
across future developments in cryptography if we can use the same kind
of cipher everywhere. If we use block ciphers for some things and
stream ciphers for other things, it is more complicated.
Perhaps that is unavoidable and I just shouldn't worry about it. It
may work out that we'll end up needing to do that anyway for one
reason or another. But all things being equal, I think it's nice if we
make all the places where we do I/O look more like each other, not
specifically because of TDE but because that's just better in general.
For example Andres is working on async I/O. Maybe this particular
piece of code is moot in terms of that project because I think Andres
is hoping to get the shared memory stats collector patch committed.
But, say that doesn't happen. The more all of the I/O looks the same,
the easier it will be to make all of it use whatever async I/O
infrastructure he creates. The more every module does things in its
own way, the harder it is. And batching work together into
reasonable-sized blocks is probably necessary for async I/O too.
I just can't look at code like that shown above and think anything
other than "blech".
--
Robert Haas
EDB: http://www.enterprisedb.com
On Wed, Oct 6, 2021 at 11:01:25AM -0400, Robert Haas wrote:
On Tue, Oct 5, 2021 at 4:29 PM Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.This seems wrong to me. CTR requires that you not reuse the IV. If you
re-encrypt the page with a different IV, torn pages are a problem. If
you re-encrypt it with the same IV, then it's not secure any more.
We were not changing the IV for hint bit changes, meaning the hint bit
changes were visible if you compared the blocks.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, Oct 6, 2021 at 12:54:49PM -0400, Bruce Momjian wrote:
On Wed, Oct 6, 2021 at 11:01:25AM -0400, Robert Haas wrote:
On Tue, Oct 5, 2021 at 4:29 PM Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.This seems wrong to me. CTR requires that you not reuse the IV. If you
re-encrypt the page with a different IV, torn pages are a problem. If
you re-encrypt it with the same IV, then it's not secure any more.We were not changing the IV for hint bit changes, meaning the hint bit
changes were visible if you compared the blocks.
Oops, I was wrong above, and my patch docs prove it:
Hint Bits
- - - - -
For hint bit changes, the LSN normally doesn't change, which is a
problem. By enabling wal_log_hints, you get full page writes to the WAL
after the first hint bit change of the checkpoint. This is useful for
two reasons. First, it generates a new LSN, which is needed for the IV
to be secure. Second, full page images protect against torn pages,
which is an even bigger requirement for encryption because the new LSN
is re-encrypting the entire page, not just the hint bit changes. You
can safely lose the hint bit changes, but you need to use the same LSN
to decrypt the entire page, so a torn page with an LSN change cannot be
decrypted. To prevent this, wal_log_hints guarantees that the
pre-hint-bit version (and previous LSN version) of the page is restored.
However, if a hint-bit-modified page is written to the file system
during a checkpoint, and there is a later hint bit change switching the
same page from clean to dirty during the same checkpoint, we need a new
LSN, and wal_log_hints doesn't give us a new LSN here. The fix for this
is to update the page LSN by writing a dummy WAL record via
xloginsert.c::LSNForEncryption() in such cases.
Seems my performance concerns were unfounded.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, Oct 6, 2021 at 11:17:59AM -0400, Robert Haas wrote:
If you enable checksums or set wal_log_hints=on, then you might incur
a some write-ahead log records that would otherwise be avoided, and
those records will include full page images. This can happen once per
page per checkpoint cycle. However, if the first modification to a
particular page within a given checkpoint cycle is a regular
WAL-logged operation rather than a hint bit change, then the extra WAL
record and full-page image are not needed so the overhead is zero.
Also, if the first modification is a hint bit change, and then the
page is evicted, prompting a full page write, but a regular WAL-logged
operation occurs later within the same checkpoint, the later operation
no longer needs a full page write. So you still paid the cost of an
extra WAL record, but you didn't pay the cost of an extra full page
write. In other words, enabling checksums or turning wal_log_hints=on
has a relatively low cost except when you have pages that incur only
hint-type changes, and no regular changes, within the course of a
single checkpoint cycle.On the other hand, in order to avoid IV reuse, your patch needed to
bump the page LSN for every change, or at least for every eviction.
That means you could potentially incur the overhead of an extra full
page write multiple times per checkpoint cycle, and even if there were
non-hint changes to that page in the same checkpoint cycle. Now you
could say, well, let's not bump the page LSN for every hint-type
change, and then your patch would have lower overhead than an approach
based on XTS, but I think that also loses a ton of security, because
now you're reusing IVs with an encryption system that is documented
not to tolerate the reuse of IVs.I'm not here to try to pretend that encryption is going to be cheap. I
just don't believe this particular argument about why AES-XTS should
be more expensive.
OK, good to know.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.Another problem caused by block mode ciphers is that to use the LSN as
part of the nonce, the LSN must not be encrypted, but you then have to
find a 16-byte block in the page that you don't need to encrypt.
With AES-XTS, we don't need to use the LSN as part of the nonce though,
so I don't think this argument is actually valid..? As discussed
previously regarding AES-XTS, the general idea was to use the path to
the file and the filename itself plus the block number as the IV, and
that works fine for XTS because it's ok to reuse it (unlike with CTR).
Thanks,
Stephen
On Wed, Oct 6, 2021 at 03:17:00PM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
-----------------------------------------------------
issue with predictable IV and isn't totally broken in case of IV reuse.
Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.Another problem caused by block mode ciphers is that to use the LSN as
part of the nonce, the LSN must not be encrypted, but you then have to
find a 16-byte block in the page that you don't need to encrypt.With AES-XTS, we don't need to use the LSN as part of the nonce though,
so I don't think this argument is actually valid..? As discussed
previously regarding AES-XTS, the general idea was to use the path to
the file and the filename itself plus the block number as the IV, and
that works fine for XTS because it's ok to reuse it (unlike with CTR).
Yes, I would prefer we don't use the LSN. I only mentioned it since
Ants Aasma mentioned LSN use above.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Mon, Oct 4, 2021 at 12:44 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks for the inputs, Robert. In the v4 patch, an unused OID (i.e, 4)
is fixed for the template0 and the same is removed from unused oid
list.In addition to the review comment fixes, I have removed some code that
is no longer needed/doesn't make sense since we preserve the OIDs.
This is not a full review, but I'm wondering about this bit of code:
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ if (!RELKIND_HAS_STORAGE(relkind) || (OidIsValid(relfilenode)
&& !create_storage))
create_storage = false;
else
{
create_storage = true;
- relfilenode = relid;
+
+ /*
+ * Create the storage with oid same as relid if relfilenode is
+ * unspecified by the caller
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}This seems hard to understand, and I wonder if perhaps it can be
simplified. If !RELKIND_HAS_STORAGE(relkind), then we're going to set
create_storage to false if it was previously true, and otherwise just
do nothing. Otherwise, if !create_storage, we'll enter the
create_storage = false branch which effectively does nothing.
Otherwise, if !OidIsValid(relfilenode), we'll set relfilenode = relid.
So couldn't we express that like this?
if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else if (create_storage && !OidIsValid(relfilenode))
relfilenode = relid;
If so, that seems more clear.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 2:05 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Oct 4, 2021 at 12:44 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks for the inputs, Robert. In the v4 patch, an unused OID (i.e, 4)
is fixed for the template0 and the same is removed from unused oid
list.In addition to the review comment fixes, I have removed some code that
is no longer needed/doesn't make sense since we preserve the OIDs.This is not a full review, but I'm wondering about this bit of code:
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode)) + if (!RELKIND_HAS_STORAGE(relkind) || (OidIsValid(relfilenode) && !create_storage)) create_storage = false; else { create_storage = true; - relfilenode = relid; + + /* + * Create the storage with oid same as relid if relfilenode is + * unspecified by the caller + */ + if (!OidIsValid(relfilenode)) + relfilenode = relid; }This seems hard to understand, and I wonder if perhaps it can be
simplified. If !RELKIND_HAS_STORAGE(relkind), then we're going to set
create_storage to false if it was previously true, and otherwise just
do nothing. Otherwise, if !create_storage, we'll enter the
create_storage = false branch which effectively does nothing.
Otherwise, if !OidIsValid(relfilenode), we'll set relfilenode = relid.
So couldn't we express that like this?if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else if (create_storage && !OidIsValid(relfilenode))
relfilenode = relid;If so, that seems more clear.
'create_storage' flag says whether or not to create the storage when a
valid relfilenode is passed. 'create_storage' flag alone cannot make
the storage creation decision in heap_create().
Only binary upgrade flow sets the 'create_storage' flag to true and
expects storage gets created with specified relfilenode. Every other
caller/flow passes false for 'create_storage' and we still need to
create storage in heap_create() if relkind has storage. That's why I
have explicitly set 'create_storage = true' in the else flow and
initialize relfilenode on need basis.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an
issue with predictable IV and isn't totally broken in case of IV reuse.Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.The above text isn't very clear. What I am saying is that currently
torn pages can be tolerated by hint bit writes because only a single
byte is changing. If we use a block cipher like AES-XTS, later 16-byte
encrypted blocks would be changed by hint bit changes, meaning torn
pages could not be tolerated. This means we would have to use full page
writes for hint bit changes, perhaps making this feature have
unacceptable performance overhead.
IIRC, in the XTS scheme, a change of a single byte in the 16-byte block causes
the whole encrypted block to be different after the next encryption, however
the following blocks are not affected. CBC (cipher-block chaining) is the mode
where the change in one block does affect the encryption of the following
block.
I'm not sure if this fact is important from the hint bit perspective
though. It would be an important difference if there was a guarantee that the
16-byte blocks are consitent even on torn page - does e.g. proper alignment of
pages guarantee that? Nevertheless, the absence of the chaining may be a
reason to prefer CBC to XTS anyway.
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
On Thu, Oct 7, 2021 at 3:24 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Every other
caller/flow passes false for 'create_storage' and we still need to
create storage in heap_create() if relkind has storage.
That seems surprising.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Wed, Oct 6, 2021 at 03:17:00PM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 5, 2021 at 04:29:25PM -0400, Bruce Momjian wrote:
On Tue, Sep 28, 2021 at 12:30:02PM +0300, Ants Aasma wrote:
On Mon, 27 Sept 2021 at 23:34, Bruce Momjian <bruce@momjian.us> wrote:
We are still working on our TDE patch. Right now the focus is on refactoring
temporary file access to make the TDE patch itself smaller. Reconsidering
encryption mode choices given concerns expressed is next. Currently a viable
option seems to be AES-XTS with LSN added into the IV. XTS doesn't have an-----------------------------------------------------
issue with predictable IV and isn't totally broken in case of IV reuse.
Uh, yes, AES-XTS has benefits, but since it is a block cipher, previous
16-byte blocks affect later blocks, meaning that hint bit changes would
also affect later blocks. I think this means we would need to write WAL
full page images for hint bit changes to avoid torn pages. Right now
hint bit (single bit) changes can be lost without causing torn pages.
This was another of the advantages of using a stream cipher like CTR.Another problem caused by block mode ciphers is that to use the LSN as
part of the nonce, the LSN must not be encrypted, but you then have to
find a 16-byte block in the page that you don't need to encrypt.With AES-XTS, we don't need to use the LSN as part of the nonce though,
so I don't think this argument is actually valid..? As discussed
previously regarding AES-XTS, the general idea was to use the path to
the file and the filename itself plus the block number as the IV, and
that works fine for XTS because it's ok to reuse it (unlike with CTR).Yes, I would prefer we don't use the LSN. I only mentioned it since
Ants Aasma mentioned LSN use above.
Ohhh, apologies for missing that, makes more sense now.
Thanks!
Stephen
On Wed, Oct 6, 2021 at 3:17 PM Stephen Frost <sfrost@snowman.net> wrote:
With AES-XTS, we don't need to use the LSN as part of the nonce though,
so I don't think this argument is actually valid..? As discussed
previously regarding AES-XTS, the general idea was to use the path to
the file and the filename itself plus the block number as the IV, and
that works fine for XTS because it's ok to reuse it (unlike with CTR).
However, there's also the option of storing a nonce in each page, as
suggested by the subject of this thread. I think that's probably a
pretty workable approach, as demonstrated by the patch that started
this thread. We'd need to think a bit carefully about whether any of
the compile-time calculations the patch moves to runtime are expensive
enough to matter and whether any such impacts can be mitigated, but I
think there is a good chance that such issues are manageable.
I'm a little concerned by the email from "Sasasu" saying that even in
XTS reusing the IV is not cryptographically weak. I don't know enough
about these different encryption modes to know if he's right, but if
he is then perhaps we need to consider his suggestion of using
AES-GCM. Or, uh, something else.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 10:28:55AM -0400, Robert Haas wrote:
However, there's also the option of storing a nonce in each page, as
suggested by the subject of this thread. I think that's probably a
pretty workable approach, as demonstrated by the patch that started
this thread. We'd need to think a bit carefully about whether any of
the compile-time calculations the patch moves to runtime are expensive
enough to matter and whether any such impacts can be mitigated, but I
think there is a good chance that such issues are manageable.I'm a little concerned by the email from "Sasasu" saying that even in
XTS reusing the IV is not cryptographically weak. I don't know enough
about these different encryption modes to know if he's right, but if
he is then perhaps we need to consider his suggestion of using
AES-GCM. Or, uh, something else.
I continue to be concerned that a page format change will decrease the
desirability of this feature by making migration complex and increasing
its code complexity. I am unclear if it is necessary.
I think the big question is whether XTS with db/relfilenode/blocknumber
is sufficient as an IV without a nonce that changes for updates.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Wed, Oct 6, 2021 at 3:17 PM Stephen Frost <sfrost@snowman.net> wrote:
With AES-XTS, we don't need to use the LSN as part of the nonce though,
so I don't think this argument is actually valid..? As discussed
previously regarding AES-XTS, the general idea was to use the path to
the file and the filename itself plus the block number as the IV, and
that works fine for XTS because it's ok to reuse it (unlike with CTR).However, there's also the option of storing a nonce in each page, as
suggested by the subject of this thread. I think that's probably a
pretty workable approach, as demonstrated by the patch that started
this thread. We'd need to think a bit carefully about whether any of
the compile-time calculations the patch moves to runtime are expensive
enough to matter and whether any such impacts can be mitigated, but I
think there is a good chance that such issues are manageable.
I agree with this in general, though I would think we'd use that for GCM
or another authenticated encryption mode (perhaps GCM-SIV with the LSN
as the IV) at some point off in the future. Alternatively, we could use
that technique to just provide a better per-page checksum than what we
have today. Maybe we could figure out how to leverage that to move to
64bit transaction IDs with some page-level epoch. Definitely a lot of
possibilities. Ultimately though, regarding TDE at least, I would think
we'd rather start with something that's block level and doesn't require
a page format change.
I'm a little concerned by the email from "Sasasu" saying that even in
XTS reusing the IV is not cryptographically weak. I don't know enough
about these different encryption modes to know if he's right, but if
he is then perhaps we need to consider his suggestion of using
AES-GCM. Or, uh, something else.
Think you meant 'strong' above (or maybe omit the 'not', either way the
oppostie of the double-negative that seems to be what was written).
As I understand it, XTS isn't great for dealing with someone who has
ongoing access to watch writes over time, just in general, but that
wasn't what it is generally used to address (and isn't what we would
be looking for it to address either). Perhaps there's other modes which
don't require that we change the page format to support them besides XTS
(in particular, as our pages are multiples of 16 bytes, it's possible we
don't really need XTS since there aren't any partial blocks and could
simply use XEX instead..)
Thanks,
Stephen
On Thu, Oct 7, 2021 at 10:27:15AM +0200, Antonin Houska wrote:
Bruce Momjian <bruce@momjian.us> wrote:
The above text isn't very clear. What I am saying is that currently
torn pages can be tolerated by hint bit writes because only a single
byte is changing. If we use a block cipher like AES-XTS, later 16-byte
encrypted blocks would be changed by hint bit changes, meaning torn
pages could not be tolerated. This means we would have to use full page
writes for hint bit changes, perhaps making this feature have
unacceptable performance overhead.IIRC, in the XTS scheme, a change of a single byte in the 16-byte block causes
the whole encrypted block to be different after the next encryption, however
the following blocks are not affected. CBC (cipher-block chaining) is the mode
where the change in one block does affect the encryption of the following
block.
Oh, good point. I was not aware of that. It means XTS does not feed
the previous block as part of the nonce to the next block.
I'm not sure if this fact is important from the hint bit perspective
though. It would be an important difference if there was a guarantee that the
16-byte blocks are consitent even on torn page - does e.g. proper alignment of
pages guarantee that? Nevertheless, the absence of the chaining may be a
reason to prefer CBC to XTS anyway.
Uh, technically most drives use 512-byte sectors, but I don't know if
there is any guarantee that 512-byte sectors will not be torn --- I have
a feeling there isn't. I think we get away with the hint bit case
because you can't tear a single bit. ;-) However, my patch created a
full page write for hint bit changes. If we don't use the LSN, those
full page writes will only happen once per checkpoint, which seems
acceptable, at least to Robert.
Interesting on the CBC idea which would force the rest of the page to
change --- not sure if that is valuable.
I know stream ciphers can be diff'ed to see data because they are
xor'ing the data --- I don't remember if block ciphers have similar
weaknesses.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Hi,
On October 7, 2021 8:54:54 AM PDT, Bruce Momjian <bruce@momjian.us> wrote:
Uh, technically most drives use 512-byte sectors, but I don't know if
there is any guarantee that 512-byte sectors will not be torn --- I have
a feeling there isn't. I think we get away with the hint bit case
because you can't tear a single bit. ;-)
We rely on it today, e.g. for the control file.
Andres
--
Sent from my Android device with K-9 Mail. Please excuse my brevity.
On Thu, Oct 7, 2021 at 11:45 AM Bruce Momjian <bruce@momjian.us> wrote:
I continue to be concerned that a page format change will decrease the
desirability of this feature by making migration complex and increasing
its code complexity. I am unclear if it is necessary.I think the big question is whether XTS with db/relfilenode/blocknumber
is sufficient as an IV without a nonce that changes for updates.
Those are fair concerns. I think I agree with everything you say here.
There was some discussion earlier (not sure if it was on this thread)
about integrity verification. And I don't think that there's any way
we can do that without storing some kind of integrity verifier in each
page. And if we're doing that anyway to support that feature, then
there's no problem if it also includes the IV. I had read Stephen's
previous comments to indicate that he thought we should go this way,
and it sounded cool to me, too. However, it does make migrations
somewhat more complex, because you would then have to actually
dump-and-reload, rather than, perhaps, just encrypting all the
existing pages while the cluster was offline. Personally, I'm not that
fussed about that problem, but I'm also rarely the one who has to help
people migrate to new releases, so I may not be as sympathetic to
those problems there as I should be.
If we don't care about the integrity verification features, then as
you say the next question is whether it's acceptable to use a
predictable nonce that is computing from values that can be known
without looking at the block contents. If so, we can forget about
$SUBJECT and save ourselves some engineering work. If not, then I
think we need to do $SUBJECT anyway. And so far I am not really
convinced that we know which of those two things is the case. I don't,
anyway.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 12:26 PM Andres Freund <andres@anarazel.de> wrote:
We rely on it today, e.g. for the control file.
I think that's the only place, though. We can't rely on it for data
files because base backups don't go through shared buffers, so reads
and writes can get torn in memory and not just on sector boundaries.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 12:29:04PM -0400, Robert Haas wrote:
On Thu, Oct 7, 2021 at 11:45 AM Bruce Momjian <bruce@momjian.us> wrote:
I continue to be concerned that a page format change will decrease the
desirability of this feature by making migration complex and increasing
its code complexity. I am unclear if it is necessary.I think the big question is whether XTS with db/relfilenode/blocknumber
is sufficient as an IV without a nonce that changes for updates.Those are fair concerns. I think I agree with everything you say here.
There was some discussion earlier (not sure if it was on this thread)
about integrity verification. And I don't think that there's any way
we can do that without storing some kind of integrity verifier in each
page. And if we're doing that anyway to support that feature, then
there's no problem if it also includes the IV. I had read Stephen's
Agreed.
previous comments to indicate that he thought we should go this way,
and it sounded cool to me, too. However, it does make migrations
Uh, what has not been publicly stated yet is that there was a meeting,
prompted by Stephen, with him, Cybertec staff, and myself on September
16 at the Cybertec office in Vienna to discuss this. After vigorous
discussion, it was agreed that a simpliied version of this feature would
be implemented that would not have temper detection (beyond encrypted
checksums) and would use XTS so that the LSN would not need to be used.
If we don't care about the integrity verification features, then as
you say the next question is whether it's acceptable to use a
predictable nonce that is computing from values that can be known
without looking at the block contents. If so, we can forget about
$SUBJECT and save ourselves some engineering work. If not, then I
Yes, that is now the question.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 09:26:26AM -0700, Andres Freund wrote:
Hi,
On October 7, 2021 8:54:54 AM PDT, Bruce Momjian <bruce@momjian.us> wrote:
Uh, technically most drives use 512-byte sectors, but I don't know if
there is any guarantee that 512-byte sectors will not be torn --- I have
a feeling there isn't. I think we get away with the hint bit case
because you can't tear a single bit. ;-)We rely on it today, e.g. for the control file.
OK, good to know, and we can be sure the 16-byte blocks will terminate
on 512-byte boundaries.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 12:32:16PM -0400, Robert Haas wrote:
On Thu, Oct 7, 2021 at 12:26 PM Andres Freund <andres@anarazel.de> wrote:
We rely on it today, e.g. for the control file.
I think that's the only place, though. We can't rely on it for data
files because base backups don't go through shared buffers, so reads
and writes can get torn in memory and not just on sector boundaries.
Uh, do backups get torn and later used?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 11:45 AM Bruce Momjian <bruce@momjian.us> wrote:
I continue to be concerned that a page format change will decrease the
desirability of this feature by making migration complex and increasing
its code complexity. I am unclear if it is necessary.I think the big question is whether XTS with db/relfilenode/blocknumber
is sufficient as an IV without a nonce that changes for updates.Those are fair concerns. I think I agree with everything you say here.
There was some discussion earlier (not sure if it was on this thread)
about integrity verification. And I don't think that there's any way
we can do that without storing some kind of integrity verifier in each
page. And if we're doing that anyway to support that feature, then
there's no problem if it also includes the IV. I had read Stephen's
previous comments to indicate that he thought we should go this way,
and it sounded cool to me, too. However, it does make migrations
somewhat more complex, because you would then have to actually
dump-and-reload, rather than, perhaps, just encrypting all the
existing pages while the cluster was offline. Personally, I'm not that
fussed about that problem, but I'm also rarely the one who has to help
people migrate to new releases, so I may not be as sympathetic to
those problems there as I should be.
Yes, for integrity verification (also known as 'authenticated
encryption') we'd definitely need to store a larger nonce value. In the
very, very long term, I think it'd be great to have that, and the patch
proposed on this thread seems really cool as a way to get us there.
If we don't care about the integrity verification features, then as
you say the next question is whether it's acceptable to use a
predictable nonce that is computing from values that can be known
without looking at the block contents. If so, we can forget about
$SUBJECT and save ourselves some engineering work. If not, then I
think we need to do $SUBJECT anyway. And so far I am not really
convinced that we know which of those two things is the case. I don't,
anyway.
Having TDE, even without authenticated encryption, is certainly
valuable. Reducing the amount of engineering required to get there is
worthwhile. Implementing TDE w/ XTS or similar, provided we do agree
that we can do so with an IV that we don't need to find additional space
for, would avoid that page-level format change. I agree we should do
some research to make sure we at least have a reasonable answer to that
question. I've spent a bit of time on that and haven't gotten to a sure
answer one way or the other as yet, but will continue to look.
Thanks,
Stephen
On Thu, Oct 7, 2021 at 12:56:22PM -0400, Bruce Momjian wrote:
On Thu, Oct 7, 2021 at 12:32:16PM -0400, Robert Haas wrote:
On Thu, Oct 7, 2021 at 12:26 PM Andres Freund <andres@anarazel.de> wrote:
We rely on it today, e.g. for the control file.
I think that's the only place, though. We can't rely on it for data
files because base backups don't go through shared buffers, so reads
and writes can get torn in memory and not just on sector boundaries.Uh, do backups get torn and later used?
Are you saying a base backup could read a page from the file system and
see a partial write, even though the write is written as 8k? I had not
thought about that.
I think this whole discussion is about whether we need full page images
for hint bit changes. I think we do if we use the LSN for the nonce (in
the old patch), and probably need it for hint bit changes when using
block cipher modes (XTS) if we feel basebackup could read only part of a
16-byte page change.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 12:56 PM Bruce Momjian <bruce@momjian.us> wrote:
Uh, do backups get torn and later used?
Yep. That's why base backup mode forces full_page_writes on
temporarily even if it's off in general.
Crazy, right?
--
Robert Haas
EDB: http://www.enterprisedb.com
On Wed, 6 Oct 2021 at 23:08, Bruce Momjian <bruce@momjian.us> wrote:
Yes, I would prefer we don't use the LSN. I only mentioned it since
Ants Aasma mentioned LSN use above.
Is there a particular reason why you would prefer not to use LSN? I
suggested it because in my view having a variable tweak is still better
than not having it even if we deem the risks of XTS tweak reuse not
important for our use case. The comment was made under the assumption that
requiring wal_log_hints for encryption is acceptable.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 12:26 PM Andres Freund <andres@anarazel.de> wrote:
We rely on it today, e.g. for the control file.
I think that's the only place, though. We can't rely on it for data
files because base backups don't go through shared buffers, so reads
and writes can get torn in memory and not just on sector boundaries.
There was a recent discussion with Munro, as I recall, that actually
points out how we probably shouldn't be relying on that even for the
control file and proposed having multiple control files (something which
I generally agree with as a good idea), particularly due to SSD
technology, as I recall.
Thanks,
Stephen
On Thu, Oct 7, 2021 at 09:38:45PM +0300, Ants Aasma wrote:
On Wed, 6 Oct 2021 at 23:08, Bruce Momjian <bruce@momjian.us> wrote:
Yes, I would prefer we don't use the LSN. I only mentioned it since
Ants Aasma mentioned LSN use above.Is there a particular reason why you would prefer not to use LSN? I suggested
it because in my view having a variable tweak is still better than not having
it even if we deem the risks of XTS tweak reuse not important for our use case.
The comment was made under the assumption that requiring wal_log_hints for
encryption is acceptable.
Well, using the LSN means we have to store the LSN unencrypted, and that
means we have to carve out a 16-byte block on the page that is not
encrypted.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 1:09 PM Bruce Momjian <bruce@momjian.us> wrote:
Are you saying a base backup could read a page from the file system and
see a partial write, even though the write is written as 8k? I had not
thought about that.
Yes; see my other response.
I think this whole discussion is about whether we need full page images
for hint bit changes. I think we do if we use the LSN for the nonce (in
the old patch), and probably need it for hint bit changes when using
block cipher modes (XTS) if we feel basebackup could read only part of a
16-byte page change.
I think all the encryption modes that we're still considering have the
(very desirable) property that changing a single bit of the
unencrypted page perturbs the entire output. But that just means that
encrypted clusters will have to run in the same mode as clusters with
checksums, or clusters with wal_log_hints=on, features which the
community has already accepted as having reasonable overhead. I have
in the past expressed skepticism about whether that overhead is really
small enough to be considered acceptable, but if I recall correctly,
the test results posted to the list suggest that you need a working
set just a little bit large than shared_buffers to make it really
sting. And that's not a super-common thing to do. Anyway, if people
aren't screaming about the overhead of that system now, they're not
likely to complain about applying it to some new situation either.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 12:56 PM Bruce Momjian <bruce@momjian.us> wrote:
Uh, do backups get torn and later used?
Yep. That's why base backup mode forces full_page_writes on
temporarily even if it's off in general.
Right, so this shouldn't be an issue as any such torn pages will have
an FPI in the WAL that will be replayed as part of restoring that
backup.
Thanks,
Stephen
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Oct 7, 2021 at 09:38:45PM +0300, Ants Aasma wrote:
On Wed, 6 Oct 2021 at 23:08, Bruce Momjian <bruce@momjian.us> wrote:
Yes, I would prefer we don't use the LSN. I only mentioned it since
Ants Aasma mentioned LSN use above.Is there a particular reason why you would prefer not to use LSN? I suggested
it because in my view having a variable tweak is still better than not having
it even if we deem the risks of XTS tweak reuse not important for our use case.
The comment was made under the assumption that requiring wal_log_hints for
encryption is acceptable.Well, using the LSN means we have to store the LSN unencrypted, and that
means we have to carve out a 16-byte block on the page that is not
encrypted.
With XTS this isn't actually the case though, is it..? Part of the
point of XTS is that the last block doesn't have to be a full 16 bytes.
What you're saying is true for XEX, but that's also why XEX isn't used
for FDE in a lot of cases, because disk sectors aren't typically
divisible by 16.
https://en.wikipedia.org/wiki/Disk_encryption_theory
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.
Thanks,
Stephen
On Thu, Oct 7, 2021 at 02:44:43PM -0400, Robert Haas wrote:
I think this whole discussion is about whether we need full page images
for hint bit changes. I think we do if we use the LSN for the nonce (in
the old patch), and probably need it for hint bit changes when using
block cipher modes (XTS) if we feel basebackup could read only part of a
16-byte page change.I think all the encryption modes that we're still considering have the
(very desirable) property that changing a single bit of the
unencrypted page perturbs the entire output. But that just means that
Well, XTS perturbs the 16-byte block, while CBC changes the rest of the
page.
encrypted clusters will have to run in the same mode as clusters with
checksums, or clusters with wal_log_hints=on, features which the
community has already accepted as having reasonable overhead. I have
in the past expressed skepticism about whether that overhead is really
small enough to be considered acceptable, but if I recall correctly,
the test results posted to the list suggest that you need a working
set just a little bit large than shared_buffers to make it really
sting. And that's not a super-common thing to do. Anyway, if people
aren't screaming about the overhead of that system now, they're not
likely to complain about applying it to some new situation either.
Yes, agreed, good conclusions.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 1:09 PM Bruce Momjian <bruce@momjian.us> wrote:
Are you saying a base backup could read a page from the file system and
see a partial write, even though the write is written as 8k? I had not
thought about that.Yes; see my other response.
Yes, that is something that has been seen before.
I think this whole discussion is about whether we need full page images
for hint bit changes. I think we do if we use the LSN for the nonce (in
the old patch), and probably need it for hint bit changes when using
block cipher modes (XTS) if we feel basebackup could read only part of a
16-byte page change.I think all the encryption modes that we're still considering have the
(very desirable) property that changing a single bit of the
unencrypted page perturbs the entire output. But that just means that
encrypted clusters will have to run in the same mode as clusters with
checksums, or clusters with wal_log_hints=on, features which the
community has already accepted as having reasonable overhead. I have
in the past expressed skepticism about whether that overhead is really
small enough to be considered acceptable, but if I recall correctly,
the test results posted to the list suggest that you need a working
set just a little bit large than shared_buffers to make it really
sting. And that's not a super-common thing to do. Anyway, if people
aren't screaming about the overhead of that system now, they're not
likely to complain about applying it to some new situation either.
Agreed.
Thanks,
Stephen
On Thu, 7 Oct 2021 at 21:52, Stephen Frost <sfrost@snowman.net> wrote:
With XTS this isn't actually the case though, is it..? Part of the
point of XTS is that the last block doesn't have to be a full 16 bytes.
What you're saying is true for XEX, but that's also why XEX isn't used
for FDE in a lot of cases, because disk sectors aren't typically
divisible by 16.https://en.wikipedia.org/wiki/Disk_encryption_theory
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.
Right, my thought was to leave the first 8 bytes of pages, the LSN,
unencrypted and include the value in the tweak. Just tested that OpenSSL
aes-256-xts handles non multiple-of-16 messages just fine.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
On Thu, Oct 7, 2021 at 12:57 PM Stephen Frost <sfrost@snowman.net> wrote:
Yes, for integrity verification (also known as 'authenticated
encryption') we'd definitely need to store a larger nonce value. In the
very, very long term, I think it'd be great to have that, and the patch
proposed on this thread seems really cool as a way to get us there.
OK. I'm not sure why that has to be relegated to the very, very long
term, but I'm really very happy to hear that you think the approach is
cool.
Having TDE, even without authenticated encryption, is certainly
valuable. Reducing the amount of engineering required to get there is
worthwhile. Implementing TDE w/ XTS or similar, provided we do agree
that we can do so with an IV that we don't need to find additional space
for, would avoid that page-level format change. I agree we should do
some research to make sure we at least have a reasonable answer to that
question. I've spent a bit of time on that and haven't gotten to a sure
answer one way or the other as yet, but will continue to look.
I mean, I feel like this meeting that Bruce was talking about was
perhaps making decisions in the wrong order. We have to decide which
encryption mode is secure enough for our needs FIRST, and then AFTER
that we can decide whether we need to store a nonce in the page. Now
if it turns out that we can do either with or without a nonce in the
page, then I'm just as happy as anyone else to start with the method
that works without a nonce in the page, because like you say, that's
less work. But unless we've established that such a method is actually
going to survive scrutiny by smart cryptographers, we can't really
decide that storing the nonce is off the table. And it doesn't seem
like we've established that yet.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 02:52:07PM -0400, Stephen Frost wrote:
Is there a particular reason why you would prefer not to use LSN? I suggested
it because in my view having a variable tweak is still better than not having
it even if we deem the risks of XTS tweak reuse not important for our use case.
The comment was made under the assumption that requiring wal_log_hints for
encryption is acceptable.Well, using the LSN means we have to store the LSN unencrypted, and that
means we have to carve out a 16-byte block on the page that is not
encrypted.With XTS this isn't actually the case though, is it..? Part of the
point of XTS is that the last block doesn't have to be a full 16 bytes.
What you're saying is true for XEX, but that's also why XEX isn't used
for FDE in a lot of cases, because disk sectors aren't typically
divisible by 16.
Oh, I was not aware of that XTS feature. Nice.
https://en.wikipedia.org/wiki/Disk_encryption_theory
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.
Yes, seems like a plan.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 09:59:31PM +0300, Ants Aasma wrote:
On Thu, 7 Oct 2021 at 21:52, Stephen Frost <sfrost@snowman.net> wrote:
With XTS this isn't actually the case though, is it..? Part of the
point of XTS is that the last block doesn't have to be a full 16 bytes.
What you're saying is true for XEX, but that's also why XEX isn't used
for FDE in a lot of cases, because disk sectors aren't typically
divisible by 16.https://en.wikipedia.org/wiki/Disk_encryption_theory
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.Right, my thought was to leave the first 8 bytes of pages, the LSN, unencrypted
and include the value in the tweak. Just tested that OpenSSL aes-256-xts
handles non multiple-of-16 messages just fine.
Great.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 2:52 PM Stephen Frost <sfrost@snowman.net> wrote:
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.
Talking about things like "limiting the risk" makes me super-nervous.
Maybe we're all on the same page here, but just to make my assumptions
explicit: I think we have to approach this feature with the idea in
mind that there are going to be very smart people actively attacking
any TDE implementation we ship. I expect that if you are lucky enough
to get your hands on a PostgreSQL cluster's data files and they happen
to be encrypted, your best option for handling that situation is not
going to be attacking the encryption, but rather something like
calling the person who has the password and pretending to be someone
to whom they ought to disclose it. However, I also believe that
PostgreSQL is a sufficiently high-profile project that security
researchers will find it a tempting target. And if they manage to
write a shell script or tool that breaks our encryption without too
much difficulty, it will generate a ton of negative PR for the
project. This will be especially true if the problem can't be fixed
without re-engineering the whole thing, because we're not
realistically going to be able to re-engineer the whole thing in a
minor release, and thus will be saddled with the defective
implementation for many years.
Now none of that is to say that we shouldn't limit risk - I mean less
risk is always better than more. But we need to be sure this is not
like a 90% thing, where we're pretty sure it works. We can get by with
that for a lot of things, but I think here we had better try
extra-hard to make sure that we don't have any exposures. We probably
will anyway, but at least if they're just bugs and not architectural
deficiencies, we can hope to be able to patch them as they are
discovered.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Oct 7, 2021 at 12:12 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Oct 7, 2021 at 2:52 PM Stephen Frost <sfrost@snowman.net> wrote:
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.Talking about things like "limiting the risk" makes me super-nervous.
Maybe we're all on the same page here, but just to make my assumptions
explicit: I think we have to approach this feature with the idea in
mind that there are going to be very smart people actively attacking
any TDE implementation we ship. I expect that if you are lucky enough
to get your hands on a PostgreSQL cluster's data files and they happen
to be encrypted, your best option for handling that situation is not
going to be attacking the encryption, but rather something like
calling the person who has the password and pretending to be someone
to whom they ought to disclose it. However, I also believe that
PostgreSQL is a sufficiently high-profile project that security
researchers will find it a tempting target. And if they manage to
write a shell script or tool that breaks our encryption without too
much difficulty, it will generate a ton of negative PR for the
project. This will be especially true if the problem can't be fixed
without re-engineering the whole thing, because we're not
realistically going to be able to re-engineer the whole thing in a
minor release, and thus will be saddled with the defective
implementation for many years.Now none of that is to say that we shouldn't limit risk - I mean less
risk is always better than more. But we need to be sure this is not
like a 90% thing, where we're pretty sure it works. We can get by with
that for a lot of things, but I think here we had better try
extra-hard to make sure that we don't have any exposures. We probably
will anyway, but at least if they're just bugs and not architectural
deficiencies, we can hope to be able to patch them as they are
discovered.
Not at all knowledgeable on security topics (bravely using terms and
recommendation), can we approach decisions like AES-XTS vs AES-GCM (which
in turn decides whether we need to store nonce or not) based on which
compliance it can achieve or not. Like can using AES-XTS make it FIPS 140-2
compliant or not?
On Thu, Oct 7, 2021 at 3:31 PM Ashwin Agrawal <ashwinstar@gmail.com> wrote:
Not at all knowledgeable on security topics (bravely using terms and recommendation), can we approach decisions like AES-XTS vs AES-GCM (which in turn decides whether we need to store nonce or not) based on which compliance it can achieve or not. Like can using AES-XTS make it FIPS 140-2 compliant or not?
To the best of my knowledge, the encryption mode doesn't have much to
do with whether such compliance can be achieved. The encryption
algorithm could matter, but I assume everyone still thinks AES is
acceptable. (We should assume that will eventually change.) The
encryption mode is, at least as I understand, more of an internal
thing that you have to get right to avoid having people break your
encryption and write papers about how they did it.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 2:52 PM Stephen Frost <sfrost@snowman.net> wrote:
Assuming that's correct, and I don't see any reason to doubt it, then
perhaps it would make sense to have the LSN be unencrypted and include
it in the tweak as that would limit the risk from re-use of the same
tweak over time.Talking about things like "limiting the risk" makes me super-nervous.
All of this is about limiting risks. :)
Maybe we're all on the same page here, but just to make my assumptions
explicit: I think we have to approach this feature with the idea in
mind that there are going to be very smart people actively attacking
any TDE implementation we ship. I expect that if you are lucky enough
to get your hands on a PostgreSQL cluster's data files and they happen
to be encrypted, your best option for handling that situation is not
going to be attacking the encryption, but rather something like
calling the person who has the password and pretending to be someone
to whom they ought to disclose it. However, I also believe that
PostgreSQL is a sufficiently high-profile project that security
researchers will find it a tempting target. And if they manage to
write a shell script or tool that breaks our encryption without too
much difficulty, it will generate a ton of negative PR for the
project. This will be especially true if the problem can't be fixed
without re-engineering the whole thing, because we're not
realistically going to be able to re-engineer the whole thing in a
minor release, and thus will be saddled with the defective
implementation for many years.
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.
Now none of that is to say that we shouldn't limit risk - I mean less
risk is always better than more. But we need to be sure this is not
like a 90% thing, where we're pretty sure it works. We can get by with
that for a lot of things, but I think here we had better try
extra-hard to make sure that we don't have any exposures. We probably
will anyway, but at least if they're just bugs and not architectural
deficiencies, we can hope to be able to patch them as they are
discovered.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.
Thanks,
Stephen
On Thu, Oct 7, 2021 at 03:38:58PM -0400, Stephen Frost wrote:
Now none of that is to say that we shouldn't limit risk - I mean less
risk is always better than more. But we need to be sure this is not
like a 90% thing, where we're pretty sure it works. We can get by with
that for a lot of things, but I think here we had better try
extra-hard to make sure that we don't have any exposures. We probably
will anyway, but at least if they're just bugs and not architectural
deficiencies, we can hope to be able to patch them as they are
discovered.As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.
I am sold. ;-)
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 3:38 PM Stephen Frost <sfrost@snowman.net> wrote:
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.
I agree that using a popular approach is a good way to go. If we do
what other people do, then hopefully our stuff won't be significantly
more broken than their stuff, and whatever is can be fixed.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.
I agree that we shouldn't really catch flack for any weaknesses of the
underlying algorithm: if XTS turns out to be secure even when used
properly, and we use it properly, the resulting weakness is somebody
else's fault. On the other hand, if we use it improperly, that's our
fault, so we need to be really sure that we understand what guarantees
we need to provide from our end, and that we are providing them. Like
if we pick an encryption mode that requires nonces to be unique, we
will be at fault if they aren't; if it requires nonces to be
unpredictable, we will be at fault if they aren't; and so on.
So that's what is making me nervous here ... it doesn't seem likely we
have complete unanimity about whether XTS is the right thing, though
that does seem to be the majority position certainly, and it is not
really clear to me that any of us can speak with authority about what
the requirements are around the nonces in particular.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 3:31 PM Ashwin Agrawal <ashwinstar@gmail.com> wrote:
Not at all knowledgeable on security topics (bravely using terms and recommendation), can we approach decisions like AES-XTS vs AES-GCM (which in turn decides whether we need to store nonce or not) based on which compliance it can achieve or not. Like can using AES-XTS make it FIPS 140-2 compliant or not?
To the best of my knowledge, the encryption mode doesn't have much to
do with whether such compliance can be achieved. The encryption
algorithm could matter, but I assume everyone still thinks AES is
acceptable. (We should assume that will eventually change.) The
encryption mode is, at least as I understand, more of an internal
thing that you have to get right to avoid having people break your
encryption and write papers about how they did it.
The issue regarding FIPS 140-2 specifically is actually about the
encryption used (AES-XTS is approved) *and* about the actual library
which is doing the encryption, which isn't really anything to do with us
but rather is OpenSSL (or perhaps NSS if we can get that finished and
included), or maybe some third party that implements one of those APIs
that you decide to use (of which there's a few, some of which have FIPS
140-2 certification).
So, can you have a FIPS 140-2 compliant system with AES-XTS? Yes, as
it's approved:
Will your system be FIPS 140-2 certified? That's a big "it depends"
and will involve you actually taking your fully built system through a
testing lab to get it certified. I certainly don't think we can make
any promises that taking it through such a test would be successful the
first time around, or even ever. First step though would be to get
something implemented so that $someone can try and can provide feedback.
Thanks,
Stephen
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 3:38 PM Stephen Frost <sfrost@snowman.net> wrote:
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.I agree that using a popular approach is a good way to go. If we do
what other people do, then hopefully our stuff won't be significantly
more broken than their stuff, and whatever is can be fixed.
Right.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.I agree that we shouldn't really catch flack for any weaknesses of the
underlying algorithm: if XTS turns out to be secure even when used
properly, and we use it properly, the resulting weakness is somebody
else's fault. On the other hand, if we use it improperly, that's our
fault, so we need to be really sure that we understand what guarantees
we need to provide from our end, and that we are providing them. Like
if we pick an encryption mode that requires nonces to be unique, we
will be at fault if they aren't; if it requires nonces to be
unpredictable, we will be at fault if they aren't; and so on.
Sure, I get that. Would be awesome if all these things were clearly
documented somewhere but I've never been able to find it quite as
explicitly laid out as one would like.
So that's what is making me nervous here ... it doesn't seem likely we
have complete unanimity about whether XTS is the right thing, though
that does seem to be the majority position certainly, and it is not
really clear to me that any of us can speak with authority about what
the requirements are around the nonces in particular.
The authority to look at, in my view anyway, are NIST publications.
Following a bit more digging, I came across something which makes sense
to me as intuitive but explains it in a way that might help everyone
understand a bit better what's going on here:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.
Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""
The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.
That isn't to say that using the same tweak for the same block over and
over "breaks" the encryption (unlike with CTR/GCM, where IV reuse leads
directly to plaintext being recoverable), but it does mean that an
observer who can see the block writes over time could see what parts are
changing (and which aren't) and may be able to derive insight from that.
Now, as I mentioned before, that particular case isn't something that
XTS is particularly good at and that's generally accepted, yet lots of
folks use XTS anyway because the concern isn't "someone has root access
on the box and is watching all block writes" but rather "laptop was
stolen" where the attacker doesn't get to see multiple writes where the
same key+tweak has been used, and the latter is really the attack vector
we're looking to address with XTS too.
Thanks,
Stephen
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 12:57 PM Stephen Frost <sfrost@snowman.net> wrote:
Yes, for integrity verification (also known as 'authenticated
encryption') we'd definitely need to store a larger nonce value. In the
very, very long term, I think it'd be great to have that, and the patch
proposed on this thread seems really cool as a way to get us there.OK. I'm not sure why that has to be relegated to the very, very long
term, but I'm really very happy to hear that you think the approach is
cool.
Folks are shy about a page format change and I get that.
Having TDE, even without authenticated encryption, is certainly
valuable. Reducing the amount of engineering required to get there is
worthwhile. Implementing TDE w/ XTS or similar, provided we do agree
that we can do so with an IV that we don't need to find additional space
for, would avoid that page-level format change. I agree we should do
some research to make sure we at least have a reasonable answer to that
question. I've spent a bit of time on that and haven't gotten to a sure
answer one way or the other as yet, but will continue to look.I mean, I feel like this meeting that Bruce was talking about was
perhaps making decisions in the wrong order. We have to decide which
encryption mode is secure enough for our needs FIRST, and then AFTER
that we can decide whether we need to store a nonce in the page. Now
if it turns out that we can do either with or without a nonce in the
page, then I'm just as happy as anyone else to start with the method
that works without a nonce in the page, because like you say, that's
less work. But unless we've established that such a method is actually
going to survive scrutiny by smart cryptographers, we can't really
decide that storing the nonce is off the table. And it doesn't seem
like we've established that yet.
Part of the meeting was specifically about "why are we doing this?" and
there were a few different answers- first and foremost was "because
people are asking for it", from which followed that, yes, in many cases
it's to satisfy an audit or similar requirement which any of the
proposed methods would address. There was further discussion that we
could address *more* cases by providing something better, but the page
format changes were weighed against that and the general consensus was
that we should attack the simpler problem first and, potentially, gain
a solution for 90% of the folks asking for it, and then later see if
there's enough interest and desire to attack the remaining 10%.
As such, it's just not so simple as "what is 'secure enough'" because it
depends on who you're talking to. Based on the collective discussion at
the meeting, XTS is 'secure enough' for the needs of probably 90% of
those asking, while the other 10% want better (an AEAD method such as
GCM or GCM-SIV). Therefore, what should we do? Spend all of the extra
resources and engineering effort to address the 10% and maybe not get
anything because of the level of difficulty, or go the simpler route
first and get the 90%? Through that lense, the choice seemed reasonably
clear, at least to me, hence why I agreed that we should work on an XTS
based approach first.
(Admittedly, the overall discussion wasn't quite as specific as XTS vs.
GCM-SIV, but the gist was "page format change" vs. "no page format
change" and that seems to equate, based on this subsequent discussion
to the choice between XTS and GCM/GCM-SIV.)
Thanks!
Stephen
Stephen Frost <sfrost@snowman.net> wrote:
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 3:38 PM Stephen Frost <sfrost@snowman.net> wrote:
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.I agree that using a popular approach is a good way to go. If we do
what other people do, then hopefully our stuff won't be significantly
more broken than their stuff, and whatever is can be fixed.Right.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.I agree that we shouldn't really catch flack for any weaknesses of the
underlying algorithm: if XTS turns out to be secure even when used
properly, and we use it properly, the resulting weakness is somebody
else's fault. On the other hand, if we use it improperly, that's our
fault, so we need to be really sure that we understand what guarantees
we need to provide from our end, and that we are providing them. Like
if we pick an encryption mode that requires nonces to be unique, we
will be at fault if they aren't; if it requires nonces to be
unpredictable, we will be at fault if they aren't; and so on.Sure, I get that. Would be awesome if all these things were clearly
documented somewhere but I've never been able to find it quite as
explicitly laid out as one would like.So that's what is making me nervous here ... it doesn't seem likely we
have complete unanimity about whether XTS is the right thing, though
that does seem to be the majority position certainly, and it is not
really clear to me that any of us can speak with authority about what
the requirements are around the nonces in particular.The authority to look at, in my view anyway, are NIST publications.
Following a bit more digging, I came across something which makes sense
to me as intuitive but explains it in a way that might help everyone
understand a bit better what's going on here:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.That isn't to say that using the same tweak for the same block over and
over "breaks" the encryption (unlike with CTR/GCM, where IV reuse leads
directly to plaintext being recoverable), but it does mean that an
observer who can see the block writes over time could see what parts are
changing (and which aren't) and may be able to derive insight from that.
This reminds me of Joe Conway's response to me email earlier:
/messages/by-id/50335f56-041b-1a1f-59ea-b5f7bf917352@joeconway.com
In the document he recommended
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38a.pdf
specifically, in the Appendix C I read:
"""
For the CBC and CFB modes, the IVs must be unpredictable. In particular, for
any given plaintext, it must not be possible to predict the IV that will be
associated to the plaintext in advance of the generation of the IV.
There are two recommended methods for generating unpredictable IVs. The first
method is to apply the forward cipher function, under the same key that is
used for the encryption of the plaintext, to a nonce. The nonce must be a
data block that is unique to each execution of the encryption operation. For
example, the nonce may be a counter, as described in Appendix B, or a message
number. The second method is to generate a random data block using a FIPS-
approved random number generator.
"""
This is about modes that include CBC, while the documend you refer to seems to
deal with some other modes. So if we want to be confident that we use the XTS
mode correctly, more research is probably needed.
Now, as I mentioned before, that particular case isn't something that
XTS is particularly good at and that's generally accepted, yet lots of
folks use XTS anyway because the concern isn't "someone has root access
on the box and is watching all block writes" but rather "laptop was
stolen" where the attacker doesn't get to see multiple writes where the
same key+tweak has been used, and the latter is really the attack vector
we're looking to address with XTS too.
I've heard a few times that database running in a cloud is also a valid use
case for the TDE. In that case I think it should be expected that "someone has
root access on the box and is watching all block writes".
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
Greetings,
* Antonin Houska (ah@cybertec.at) wrote:
Stephen Frost <sfrost@snowman.net> wrote:
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 3:38 PM Stephen Frost <sfrost@snowman.net> wrote:
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.I agree that using a popular approach is a good way to go. If we do
what other people do, then hopefully our stuff won't be significantly
more broken than their stuff, and whatever is can be fixed.Right.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.I agree that we shouldn't really catch flack for any weaknesses of the
underlying algorithm: if XTS turns out to be secure even when used
properly, and we use it properly, the resulting weakness is somebody
else's fault. On the other hand, if we use it improperly, that's our
fault, so we need to be really sure that we understand what guarantees
we need to provide from our end, and that we are providing them. Like
if we pick an encryption mode that requires nonces to be unique, we
will be at fault if they aren't; if it requires nonces to be
unpredictable, we will be at fault if they aren't; and so on.Sure, I get that. Would be awesome if all these things were clearly
documented somewhere but I've never been able to find it quite as
explicitly laid out as one would like.So that's what is making me nervous here ... it doesn't seem likely we
have complete unanimity about whether XTS is the right thing, though
that does seem to be the majority position certainly, and it is not
really clear to me that any of us can speak with authority about what
the requirements are around the nonces in particular.The authority to look at, in my view anyway, are NIST publications.
Following a bit more digging, I came across something which makes sense
to me as intuitive but explains it in a way that might help everyone
understand a bit better what's going on here:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.That isn't to say that using the same tweak for the same block over and
over "breaks" the encryption (unlike with CTR/GCM, where IV reuse leads
directly to plaintext being recoverable), but it does mean that an
observer who can see the block writes over time could see what parts are
changing (and which aren't) and may be able to derive insight from that.This reminds me of Joe Conway's response to me email earlier:
/messages/by-id/50335f56-041b-1a1f-59ea-b5f7bf917352@joeconway.com
In the document he recommended
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38a.pdf
specifically, in the Appendix C I read:
"""
For the CBC and CFB modes, the IVs must be unpredictable. In particular, for
any given plaintext, it must not be possible to predict the IV that will be
associated to the plaintext in advance of the generation of the IV.There are two recommended methods for generating unpredictable IVs. The first
method is to apply the forward cipher function, under the same key that is
used for the encryption of the plaintext, to a nonce. The nonce must be a
data block that is unique to each execution of the encryption operation. For
example, the nonce may be a counter, as described in Appendix B, or a message
number. The second method is to generate a random data block using a FIPS-
approved random number generator.
"""This is about modes that include CBC, while the documend you refer to seems to
deal with some other modes. So if we want to be confident that we use the XTS
mode correctly, more research is probably needed.
What I think is missing from this discussion is the fact that, with XTS
(and XEX, on which XTS is built), the IV *is* run through a forward
cipher function, just as suggested above needs to be done for CBC. I
don't see any reason to doubt that OpenSSL is correctly doing that.
This article shows this pretty clearly:
https://en.wikipedia.org/wiki/Disk_encryption_theory
I don't think that changes the fact that, if we're able to, we should be
varying the tweak/IV as often as we can, and including the LSN seems
like a good way to do just that.
Now, all that said, I'm all for looking at what others do to inform us
as to the right way to go about things and the above article lists a
number of users of XTS which we could go look at:
XTS is supported by BestCrypt, Botan, NetBSD's cgd,[13] dm-crypt,
FreeOTFE, TrueCrypt, VeraCrypt,[14] DiskCryptor, FreeBSD's geli, OpenBSD
softraid disk encryption software, OpenSSL, Mac OS X Lion's FileVault 2,
Windows 10's BitLocker[15] and wolfCrypt.
Now, as I mentioned before, that particular case isn't something that
XTS is particularly good at and that's generally accepted, yet lots of
folks use XTS anyway because the concern isn't "someone has root access
on the box and is watching all block writes" but rather "laptop was
stolen" where the attacker doesn't get to see multiple writes where the
same key+tweak has been used, and the latter is really the attack vector
we're looking to address with XTS too.I've heard a few times that database running in a cloud is also a valid use
case for the TDE. In that case I think it should be expected that "someone has
root access on the box and is watching all block writes".
Except that it isn't. If you're using someone else's computer, they're
going to be able to look into shared buffers at tons of unencrypted
data, including the keys to decrypt everything. That doesn't mean we
shouldn't try to be good about using a different IV to make it harder on
someone who has somehow gotten access to watch the writes go by, but TDE
isn't a solution to protect someone from their cloud provider gaining
access to their data.
Thanks,
Stephen
On 2021/10/6 23:01, Robert Haas wrote:
This seems wrong to me. CTR requires that you not reuse the IV. If you
re-encrypt the page with a different IV, torn pages are a problem. If
you re-encrypt it with the same IV, then it's not secure any more.
for CBC if the IV is predictable will case "dictionary attack".
and for CBC and GCM reuse IV will case "known plaintext attack".
XTS works like CBC but adds a tweak step. the tweak step does not add
randomness. It means XTS still has "known plaintext attack", due to the
same reason from CBC.
many mails before this mail do a clear explanation, I just repeat. :>
On 2021/10/7 22:28, Robert Haas wrote:
I'm a little concerned by the email from "Sasasu" saying that even in
XTS reusing the IV is not cryptographically weak. I don't know enough
about these different encryption modes to know if he's right, but if
he is then perhaps we need to consider his suggestion of using
AES-GCM. Or, uh, something else.
a cryptography algorithm always lists some attack method (the scope), if
the algorithm can defend against this attack, the algorithm is good. If
software uses this algorithm but is attacked by the method not on that
list. It is the software using this algorithm incorrectly, or should not
use this algorithm.
On 2021/10/8 03:38, Stephen Frost wrote:
I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk (;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
If using an existing wonderful algorithm but out of the design scope,
cryptographers will laugh at you.
Show quoted text
On 2021/10/9 02:34, Stephen Frost wrote:
Greetings,
* Antonin Houska (ah@cybertec.at) wrote:
Stephen Frost <sfrost@snowman.net> wrote:
* Robert Haas (robertmhaas@gmail.com) wrote:
On Thu, Oct 7, 2021 at 3:38 PM Stephen Frost <sfrost@snowman.net> wrote:
While I certainly also appreciate that we want to get this as right as
we possibly can from the start, I strongly suspect we'll have one of two
reactions- either we'll be more-or-less ignored and it'll be crickets
from the security folks, or we're going to get beat up by them for
$reasons, almost regardless of what we actually do. Best bet to
limit the risk ( ;) ) of the latter happening would be to try our best
to do what existing solutions already do- such as by using XTS.
There's things we can do to limit the risk of known-plaintext attacks,
like simply not encrypting empty pages, or about possible known-IV
risks, like using the LSN as part of the IV/tweak. Will we get
everything? Probably not, but I don't think that we're going to really
go wrong by using XTS as it's quite popularly used today and it's
explicitly used for cases where you haven't got a place to store the
extra nonce that you would need for AEAD encryption schemes.I agree that using a popular approach is a good way to go. If we do
what other people do, then hopefully our stuff won't be significantly
more broken than their stuff, and whatever is can be fixed.Right.
As long as we're clear that this initial version of TDE is with XTS then
I really don't think we'll end up with anyone showing up and saying we
screwed up by not generating a per-page nonce to store with it- the point
of XTS is that you don't need that.I agree that we shouldn't really catch flack for any weaknesses of the
underlying algorithm: if XTS turns out to be secure even when used
properly, and we use it properly, the resulting weakness is somebody
else's fault. On the other hand, if we use it improperly, that's our
fault, so we need to be really sure that we understand what guarantees
we need to provide from our end, and that we are providing them. Like
if we pick an encryption mode that requires nonces to be unique, we
will be at fault if they aren't; if it requires nonces to be
unpredictable, we will be at fault if they aren't; and so on.Sure, I get that. Would be awesome if all these things were clearly
documented somewhere but I've never been able to find it quite as
explicitly laid out as one would like.So that's what is making me nervous here ... it doesn't seem likely we
have complete unanimity about whether XTS is the right thing, though
that does seem to be the majority position certainly, and it is not
really clear to me that any of us can speak with authority about what
the requirements are around the nonces in particular.The authority to look at, in my view anyway, are NIST publications.
Following a bit more digging, I came across something which makes sense
to me as intuitive but explains it in a way that might help everyone
understand a bit better what's going on here:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.That isn't to say that using the same tweak for the same block over and
over "breaks" the encryption (unlike with CTR/GCM, where IV reuse leads
directly to plaintext being recoverable), but it does mean that an
observer who can see the block writes over time could see what parts are
changing (and which aren't) and may be able to derive insight from that.This reminds me of Joe Conway's response to me email earlier:
/messages/by-id/50335f56-041b-1a1f-59ea-b5f7bf917352@joeconway.com
In the document he recommended
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38a.pdf
specifically, in the Appendix C I read:
"""
For the CBC and CFB modes, the IVs must be unpredictable. In particular, for
any given plaintext, it must not be possible to predict the IV that will be
associated to the plaintext in advance of the generation of the IV.There are two recommended methods for generating unpredictable IVs. The first
method is to apply the forward cipher function, under the same key that is
used for the encryption of the plaintext, to a nonce. The nonce must be a
data block that is unique to each execution of the encryption operation. For
example, the nonce may be a counter, as described in Appendix B, or a message
number. The second method is to generate a random data block using a FIPS-
approved random number generator.
"""This is about modes that include CBC, while the documend you refer to seems to
deal with some other modes. So if we want to be confident that we use the XTS
mode correctly, more research is probably needed.What I think is missing from this discussion is the fact that, with XTS
(and XEX, on which XTS is built), the IV *is* run through a forward
cipher function, just as suggested above needs to be done for CBC. I
don't see any reason to doubt that OpenSSL is correctly doing that.This article shows this pretty clearly:
https://en.wikipedia.org/wiki/Disk_encryption_theory
I don't think that changes the fact that, if we're able to, we should be
varying the tweak/IV as often as we can, and including the LSN seems
like a good way to do just that.Now, all that said, I'm all for looking at what others do to inform us
as to the right way to go about things and the above article lists a
number of users of XTS which we could go look at:XTS is supported by BestCrypt, Botan, NetBSD's cgd,[13] dm-crypt,
FreeOTFE, TrueCrypt, VeraCrypt,[14] DiskCryptor, FreeBSD's geli, OpenBSD
softraid disk encryption software, OpenSSL, Mac OS X Lion's FileVault 2,
Windows 10's BitLocker[15] and wolfCrypt.Now, as I mentioned before, that particular case isn't something that
XTS is particularly good at and that's generally accepted, yet lots of
folks use XTS anyway because the concern isn't "someone has root access
on the box and is watching all block writes" but rather "laptop was
stolen" where the attacker doesn't get to see multiple writes where the
same key+tweak has been used, and the latter is really the attack vector
we're looking to address with XTS too.I've heard a few times that database running in a cloud is also a valid use
case for the TDE. In that case I think it should be expected that "someone has
root access on the box and is watching all block writes".Except that it isn't. If you're using someone else's computer, they're
going to be able to look into shared buffers at tons of unencrypted
data, including the keys to decrypt everything. That doesn't mean we
shouldn't try to be good about using a different IV to make it harder on
someone who has somehow gotten access to watch the writes go by, but TDE
isn't a solution to protect someone from their cloud provider gaining
access to their data.Thanks,
Stephen
On Thu, Oct 7, 2021 at 11:32:07PM -0400, Stephen Frost wrote:
Part of the meeting was specifically about "why are we doing this?" and
there were a few different answers- first and foremost was "because
people are asking for it", from which followed that, yes, in many cases
it's to satisfy an audit or similar requirement which any of the
proposed methods would address. There was further discussion that we
Yes, Cybertec's experience with their TDE patch's adoption supported
this.
could address *more* cases by providing something better, but the page
format changes were weighed against that and the general consensus was
that we should attack the simpler problem first and, potentially, gain
a solution for 90% of the folks asking for it, and then later see if
there's enough interest and desire to attack the remaining 10%.
It is more than just the page format --- it would also be the added
code, possible performance impact, and later code maintenance to allow
for are a more complex or two different page formats.
As an example, I think the online checksum patch failed because it
wasn't happy with that 90% and went for the extra 10% of restartability,
but once you saw the 100% solution, the patch was too big and was
rejected.
As such, it's just not so simple as "what is 'secure enough'" because it
depends on who you're talking to. Based on the collective discussion at
the meeting, XTS is 'secure enough' for the needs of probably 90% of
those asking, while the other 10% want better (an AEAD method such as
GCM or GCM-SIV). Therefore, what should we do? Spend all of the extra
resources and engineering effort to address the 10% and maybe not get
anything because of the level of difficulty, or go the simpler route
first and get the 90%? Through that lense, the choice seemed reasonably
clear, at least to me, hence why I agreed that we should work on an XTS
based approach first.
Yes, that was the conclusion. I think it helped to have the discussion
verbally with everyone hearing every word, rather than via email where
people jump into the discussion not hearing earlier points.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Thu, Oct 7, 2021 at 11:32:07PM -0400, Stephen Frost wrote:
Part of the meeting was specifically about "why are we doing this?" and
there were a few different answers- first and foremost was "because
people are asking for it", from which followed that, yes, in many cases
it's to satisfy an audit or similar requirement which any of the
proposed methods would address. There was further discussion that weYes, Cybertec's experience with their TDE patch's adoption supported
this.could address *more* cases by providing something better, but the page
format changes were weighed against that and the general consensus was
that we should attack the simpler problem first and, potentially, gain
a solution for 90% of the folks asking for it, and then later see if
there's enough interest and desire to attack the remaining 10%.It is more than just the page format --- it would also be the added
code, possible performance impact, and later code maintenance to allow
for are a more complex or two different page formats.
Yes, there is more to it than just the page format, I agree. I'm still
of the mind that it's something we're going to get to eventually, if for
no other reason than that our current page format is certainly not
perfect and it'd be pretty awesome if we could make improvements to it
(independently of TDE or anything else discussed currently).
As an example, I think the online checksum patch failed because it
wasn't happy with that 90% and went for the extra 10% of restartability,
but once you saw the 100% solution, the patch was too big and was
rejected.
I'm, at least, still hopeful that we get the online checksum patch done.
I'm not sure that I agree that this was 'the' reason it didn't make it
in, but I don't think it'd be helpful to tangent this thread to
discussing some other patch.
As such, it's just not so simple as "what is 'secure enough'" because it
depends on who you're talking to. Based on the collective discussion at
the meeting, XTS is 'secure enough' for the needs of probably 90% of
those asking, while the other 10% want better (an AEAD method such as
GCM or GCM-SIV). Therefore, what should we do? Spend all of the extra
resources and engineering effort to address the 10% and maybe not get
anything because of the level of difficulty, or go the simpler route
first and get the 90%? Through that lense, the choice seemed reasonably
clear, at least to me, hence why I agreed that we should work on an XTS
based approach first.Yes, that was the conclusion. I think it helped to have the discussion
verbally with everyone hearing every word, rather than via email where
people jump into the discussion not hearing earlier points.
Yes, agreed. Certainly am hopeful that we are able to have more of
those in the (relatively) near future too!
Thanks!
Stephen
On Fri, Oct 8, 2021 at 02:34:20PM -0400, Stephen Frost wrote:
What I think is missing from this discussion is the fact that, with XTS
(and XEX, on which XTS is built), the IV *is* run through a forward
cipher function, just as suggested above needs to be done for CBC. I
don't see any reason to doubt that OpenSSL is correctly doing that.This article shows this pretty clearly:
https://en.wikipedia.org/wiki/Disk_encryption_theory
I don't think that changes the fact that, if we're able to, we should be
varying the tweak/IV as often as we can, and including the LSN seems
like a good way to do just that.
Keep in mind that in our existiing code (not my patch), the LSN is zero
for unlogged relations, a fixed value for some GiST index pages, and
unchanged for some hint bit changes. Therefore, while we can include
the LSN in the IV because it _might_ help, we can't rely on it.
We probably need to have a discussion about whether LSN and checksum
should be encrypted on the page. I think we are currently leaning to no
encryption for LSN because we can use it as part of the nonce (where is
it is variable) and encrypting the checksum for rudimenary integrity
checking.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Mon, Oct 11, 2021 at 01:01:08PM -0400, Stephen Frost wrote:
It is more than just the page format --- it would also be the added
code, possible performance impact, and later code maintenance to allow
for are a more complex or two different page formats.Yes, there is more to it than just the page format, I agree. I'm still
of the mind that it's something we're going to get to eventually, if for
no other reason than that our current page format is certainly not
perfect and it'd be pretty awesome if we could make improvements to it
(independently of TDE or anything else discussed currently).
Yes, 100% agree on that. The good part is that TDE would not be paying
the cost for that. ;-)
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Fri, Oct 8, 2021 at 02:34:20PM -0400, Stephen Frost wrote:
What I think is missing from this discussion is the fact that, with XTS
(and XEX, on which XTS is built), the IV *is* run through a forward
cipher function, just as suggested above needs to be done for CBC. I
don't see any reason to doubt that OpenSSL is correctly doing that.This article shows this pretty clearly:
https://en.wikipedia.org/wiki/Disk_encryption_theory
I don't think that changes the fact that, if we're able to, we should be
varying the tweak/IV as often as we can, and including the LSN seems
like a good way to do just that.Keep in mind that in our existiing code (not my patch), the LSN is zero
for unlogged relations, a fixed value for some GiST index pages, and
unchanged for some hint bit changes. Therefore, while we can include
the LSN in the IV because it _might_ help, we can't rely on it.
Regarding unlogged LSNs at least, I would think that we'd want to
actually use GetFakeLSNForUnloggedRel() instead of just having it zero'd
out. The fixed value for GiST index pages is just during the index
build process, as I recall, and that's perhaps less of a concern. Part
of the point of using XTS is to avoid the issue of the LSN not being
changed when hint bits are, or more generally not being unique in
various cases.
We probably need to have a discussion about whether LSN and checksum
should be encrypted on the page. I think we are currently leaning to no
encryption for LSN because we can use it as part of the nonce (where is
it is variable) and encrypting the checksum for rudimenary integrity
checking.
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.
Thanks,
Stephen
On Mon, Oct 11, 2021 at 01:30:38PM -0400, Stephen Frost wrote:
Greetings,
Keep in mind that in our existing code (not my patch), the LSN is zero
for unlogged relations, a fixed value for some GiST index pages, and
unchanged for some hint bit changes. Therefore, while we can include
the LSN in the IV because it _might_ help, we can't rely on it.Regarding unlogged LSNs at least, I would think that we'd want to
actually use GetFakeLSNForUnloggedRel() instead of just having it zero'd
out. The fixed value for GiST index pages is just during the index
Good idea. For my patch I had to use a WAL-logged dummy LSN, but for
our use, re-using a fake LSN after a crash seems fine, so we can just
use the existing GetFakeLSNForUnloggedRel(). However, we might need to
use the part of my patch that removes the assumption that unlogged
relations always have zero LSNs, because right now they are only used
for GiST indexes --- I would have to research that more.
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.
Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Mon, 11 Oct 2021 at 22:15, Bruce Momjian <bruce@momjian.us> wrote:
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.
We had to special case zero pages and not encrypt them because as far as I
can tell, there is no atomic way to extend a file and initialize it to
Enc(zero) in the same step.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
On Tue, Oct 12, 2021 at 08:40:17AM +0300, Ants Aasma wrote:
On Mon, 11 Oct 2021 at 22:15, Bruce Momjian <bruce@momjian.us> wrote:
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.We had to special case zero pages and not encrypt them because as far as I can
tell, there is no atomic way to extend a file and initialize it to Enc(zero) in
the same step.
Oh, good point. Yeah, we will need to handle that.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 12, 2021 at 08:40:17AM +0300, Ants Aasma wrote:
On Mon, 11 Oct 2021 at 22:15, Bruce Momjian <bruce@momjian.us> wrote:
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.We had to special case zero pages and not encrypt them because as far as I can
tell, there is no atomic way to extend a file and initialize it to Enc(zero) in
the same step.Oh, good point. Yeah, we will need to handle that.
Not sure what's meant here by 'handle that', but I don't see any
particular reason to avoid doing exactly the same for zero pages with
TDE in core..? I don't think there's any reason we need to make things
complicated to ensure that we encrypt entirely empty pages.
Thanks,
Stephen
On Tue, Oct 12, 2021 at 08:25:52AM -0400, Stephen Frost wrote:
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 12, 2021 at 08:40:17AM +0300, Ants Aasma wrote:
On Mon, 11 Oct 2021 at 22:15, Bruce Momjian <bruce@momjian.us> wrote:
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.We had to special case zero pages and not encrypt them because as far as I can
tell, there is no atomic way to extend a file and initialize it to Enc(zero) in
the same step.Oh, good point. Yeah, we will need to handle that.
Not sure what's meant here by 'handle that', but I don't see any
particular reason to avoid doing exactly the same for zero pages with
TDE in core..? I don't think there's any reason we need to make things
complicated to ensure that we encrypt entirely empty pages.
I thought he was saying that when you extend a file, you might have to
extend it with all zeros, rather than being able to extend it with
an actual encrypted page of zeros. For example, I think when a page is
corrupt in storage, it reads back as a fully zero page, and we would
need to handle that. Are you saying we already have logic to handle
that so we don't need to change anything?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
Greetings,
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 12, 2021 at 08:25:52AM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
On Tue, Oct 12, 2021 at 08:40:17AM +0300, Ants Aasma wrote:
On Mon, 11 Oct 2021 at 22:15, Bruce Momjian <bruce@momjian.us> wrote:
Yes, that's the direction that I was thinking also and specifically with
XTS as the encryption algorithm to allow us to exclude the LSN but keep
everything else, and to address the concern around the nonce/tweak/etc
being the same sometimes across multiple writes. Another thing to
consider is if we want to encrypt zero'd page. There was a point
brought up that if we do then we are encrypting a fair bit of very
predictable bytes and that's not great (though there's a fair bit about
our pages that someone could quite possibly predict anyway based on
table structures and such...). I would think that if it's easy enough
to not encrypt zero'd pages that we should avoid doing so. Don't recall
offhand which way zero'd pages were being handled already but thought it
made sense to mention that as part of this discussion.Yeah, I wanted to mention that. I don't see any security difference
between fully-zero pages, pages with headers and no tuples, and pages
with headers and only a few tuples. If any of those are insecure, they
all are. Therefore, I don't see any reason to treat them differently.We had to special case zero pages and not encrypt them because as far as I can
tell, there is no atomic way to extend a file and initialize it to Enc(zero) in
the same step.Oh, good point. Yeah, we will need to handle that.
Not sure what's meant here by 'handle that', but I don't see any
particular reason to avoid doing exactly the same for zero pages with
TDE in core..? I don't think there's any reason we need to make things
complicated to ensure that we encrypt entirely empty pages.I thought he was saying that when you extend a file, you might have to
extend it with all zeros, rather than being able to extend it with
an actual encrypted page of zeros. For example, I think when a page is
corrupt in storage, it reads back as a fully zero page, and we would
need to handle that. Are you saying we already have logic to handle
that so we don't need to change anything?
When we extend a file, it gets extended with all zeros. PG already
handles that case, PG w/ TDE would need to also recognize that case
(which is what Ants was saying their patch does) and handle it. In
other words, we just need to realize when a page is all zeros and not
try to decrypt it when we're reading it. Ants' patch does that and my
recollection is that it wasn't very complicated to do, and that seems
much simpler than trying to figure out a way to ensure we do encrypt a
zero'd page as part of extending a file.
Thanks,
Stephen
On Tue, Oct 12, 2021 at 08:49:28AM -0400, Stephen Frost wrote:
* Bruce Momjian (bruce@momjian.us) wrote:
I thought he was saying that when you extend a file, you might have to
extend it with all zeros, rather than being able to extend it with
an actual encrypted page of zeros. For example, I think when a page is
corrupt in storage, it reads back as a fully zero page, and we would
need to handle that. Are you saying we already have logic to handle
that so we don't need to change anything?When we extend a file, it gets extended with all zeros. PG already
handles that case, PG w/ TDE would need to also recognize that case
(which is what Ants was saying their patch does) and handle it. In
other words, we just need to realize when a page is all zeros and not
try to decrypt it when we're reading it. Ants' patch does that and my
recollection is that it wasn't very complicated to do, and that seems
much simpler than trying to figure out a way to ensure we do encrypt a
zero'd page as part of extending a file.
Well, how do you detect an all-zero page vs a page that encrypted to all
zeros? I am thinking a zero LSN (which is not encrypted) would be the
only sure way, but we then have to make sure unlogged relations always
get a fake LSN.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 11:05 PM Stephen Frost <sfrost@snowman.net> wrote:
Sure, I get that. Would be awesome if all these things were clearly
documented somewhere but I've never been able to find it quite as
explicitly laid out as one would like.
:-(
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.
I mean I don't have anything against that appendix, but I think we
need to understand - with confidence - what the expectations are
specifically around XTS, and that appendix seems much more general
than that.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Mon, Oct 11, 2021 at 1:30 PM Stephen Frost <sfrost@snowman.net> wrote:
Regarding unlogged LSNs at least, I would think that we'd want to
actually use GetFakeLSNForUnloggedRel() instead of just having it zero'd
out. The fixed value for GiST index pages is just during the index
build process, as I recall, and that's perhaps less of a concern. Part
of the point of using XTS is to avoid the issue of the LSN not being
changed when hint bits are, or more generally not being unique in
various cases.
I don't believe there's anything to prevent the fake-LSN counter from
overtaking the real end-of-WAL, and if that should happen, then the
buffer manager would get confused. Maybe that can be fixed by doing
some sort of surgery on the buffer manager, but it doesn't seem to be
a trivial or ignorable problem.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Mon, Oct 11, 2021 at 1:30 PM Stephen Frost <sfrost@snowman.net> wrote:
Regarding unlogged LSNs at least, I would think that we'd want to
actually use GetFakeLSNForUnloggedRel() instead of just having it zero'd
out. The fixed value for GiST index pages is just during the index
build process, as I recall, and that's perhaps less of a concern. Part
of the point of using XTS is to avoid the issue of the LSN not being
changed when hint bits are, or more generally not being unique in
various cases.I don't believe there's anything to prevent the fake-LSN counter from
overtaking the real end-of-WAL, and if that should happen, then the
buffer manager would get confused. Maybe that can be fixed by doing
some sort of surgery on the buffer manager, but it doesn't seem to be
a trivial or ignorable problem.
Using fake LSNs isn't new.. how is this not a concern already then?
Also wondering why the buffer manager would care about the LSN on pages
which are not BM_PERMANENT..?
I'll admit that I might certainly be missing something here.
Thanks,
Stephen
On Tue, Oct 12, 2021 at 10:39 AM Stephen Frost <sfrost@snowman.net> wrote:
Using fake LSNs isn't new.. how is this not a concern already then?
Also wondering why the buffer manager would care about the LSN on pages
which are not BM_PERMANENT..?I'll admit that I might certainly be missing something here.
Oh, FlushBuffer has a guard against this case in it. I hadn't realized that.
Sorry for the noise.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, 12 Oct 2021 at 16:14, Bruce Momjian <bruce@momjian.us> wrote:
Well, how do you detect an all-zero page vs a page that encrypted to all
zeros?
Page encrypting to all zeros is for all practical purposes impossible to
hit. Basically an attacker would have to be able to arbitrarily set the
whole contents of the page and they would then achieve that this page gets
ignored.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
On Tue, 12 Oct 2021 at 16:14, Bruce Momjian <bruce@momjian.us> wrote:
Well, how do you detect an all-zero page vs a page that encrypted to all
zeros?Page encrypting to all zeros is for all practical purposes impossible to hit.
Basically an attacker would have to be able to arbitrarily set the whole
contents of the page and they would then achieve that this page gets ignored.
Uh, how do we know that valid data can't produce an encrypted all-zero
page?
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
On Tue, 12 Oct 2021 at 16:14, Bruce Momjian <bruce@momjian.us> wrote:
Well, how do you detect an all-zero page vs a page that encrypted to
all
zeros?
Page encrypting to all zeros is for all practical purposes impossible to
hit.
Basically an attacker would have to be able to arbitrarily set the whole
contents of the page and they would then achieve that this page getsignored.
Uh, how do we know that valid data can't produce an encrypted all-zero
page?
Because the chances of that happening by accident are equivalent to making
a series of commits to postgres and ending up with the same git commit hash
400 times in a row.
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
Greetings,
On Tue, Oct 12, 2021 at 17:49 Ants Aasma <ants@cybertec.at> wrote:
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
On Tue, 12 Oct 2021 at 16:14, Bruce Momjian <bruce@momjian.us> wrote:
Well, how do you detect an all-zero page vs a page that encrypted
to all
zeros?
Page encrypting to all zeros is for all practical purposes impossible
to hit.
Basically an attacker would have to be able to arbitrarily set the whole
contents of the page and they would then achieve that this page getsignored.
Uh, how do we know that valid data can't produce an encrypted all-zero
page?Because the chances of that happening by accident are equivalent to making
a series of commits to postgres and ending up with the same git commit hash
400 times in a row.
And to then have a valid checksum … seems next to impossible.
Thanks,
Stephen
Show quoted text
On Wed, Oct 13, 2021 at 12:48:51AM +0300, Ants Aasma wrote:
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
Page encrypting to all zeros is for all practical purposes impossible to
hit.
Basically an attacker would have to be able to arbitrarily set the whole
contents of the page and they would then achieve that this page getsignored.
Uh, how do we know that valid data can't produce an encrypted all-zero
page?Because the chances of that happening by accident are equivalent to making a
series of commits to postgres and ending up with the same git commit hash 400
times in a row.
Yes, 256^8192 is 1e+19728, but why not just assume a page LSN=0 is an
empty page, and if not, an error? Seems easier than checking if each
page contains all zeros every time.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Wed, 13 Oct 2021 at 02:20, Bruce Momjian <bruce@momjian.us> wrote:
On Wed, Oct 13, 2021 at 12:48:51AM +0300, Ants Aasma wrote:
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
Page encrypting to all zeros is for all practical purposes
impossible to
hit.
Basically an attacker would have to be able to arbitrarily set the
whole
contents of the page and they would then achieve that this page
gets
ignored.
Uh, how do we know that valid data can't produce an encrypted
all-zero
page?
Because the chances of that happening by accident are equivalent to
making a
series of commits to postgres and ending up with the same git commit
hash 400
times in a row.
Yes, 256^8192 is 1e+19728, but why not just assume a page LSN=0 is an
empty page, and if not, an error? Seems easier than checking if each
page contains all zeros every time.
We already check it anyway, see PageIsVerifiedExtended().
--
Ants Aasma
Senior Database Engineerwww.cybertec-postgresql.com
Greetings,
* Ants Aasma (ants@cybertec.at) wrote:
On Wed, 13 Oct 2021 at 02:20, Bruce Momjian <bruce@momjian.us> wrote:
On Wed, Oct 13, 2021 at 12:48:51AM +0300, Ants Aasma wrote:
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
Page encrypting to all zeros is for all practical purposes
impossible to
hit.
Basically an attacker would have to be able to arbitrarily set the
whole
contents of the page and they would then achieve that this page
gets
ignored.
Uh, how do we know that valid data can't produce an encrypted
all-zero
page?
Because the chances of that happening by accident are equivalent to
making a
series of commits to postgres and ending up with the same git commit
hash 400
times in a row.
Yes, 256^8192 is 1e+19728, but why not just assume a page LSN=0 is an
empty page, and if not, an error? Seems easier than checking if each
page contains all zeros every time.We already check it anyway, see PageIsVerifiedExtended().
Right- we check the LSN along with the rest of the page there.
Thanks,
Stephen
On Wed, Oct 13, 2021 at 09:16:37AM -0400, Stephen Frost wrote:
Greetings,
* Ants Aasma (ants@cybertec.at) wrote:
On Wed, 13 Oct 2021 at 02:20, Bruce Momjian <bruce@momjian.us> wrote:
On Wed, Oct 13, 2021 at 12:48:51AM +0300, Ants Aasma wrote:
On Wed, 13 Oct 2021 at 00:25, Bruce Momjian <bruce@momjian.us> wrote:
On Tue, Oct 12, 2021 at 11:21:28PM +0300, Ants Aasma wrote:
Page encrypting to all zeros is for all practical purposes
impossible to
hit.
Basically an attacker would have to be able to arbitrarily set the
whole
contents of the page and they would then achieve that this page
gets
ignored.
Uh, how do we know that valid data can't produce an encrypted
all-zero
page?
Because the chances of that happening by accident are equivalent to
making a
series of commits to postgres and ending up with the same git commit
hash 400
times in a row.
Yes, 256^8192 is 1e+19728, but why not just assume a page LSN=0 is an
empty page, and if not, an error? Seems easier than checking if each
page contains all zeros every time.We already check it anyway, see PageIsVerifiedExtended().
Right- we check the LSN along with the rest of the page there.
Very good. I have not looked at the Cybertec patch recently.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Thu, Oct 7, 2021 at 7:33 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Oct 7, 2021 at 3:24 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Every other
caller/flow passes false for 'create_storage' and we still need to
create storage in heap_create() if relkind has storage.That seems surprising.
I have revised the patch w.r.t the way 'create_storage' is interpreted
in heap_create() along with some minor changes to preserve the DBOID
patch.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchapplication/octet-stream; name=v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchDownload
From da9a1c117cb299543e4468a082518f778ec52dff Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Tue, 26 Oct 2021 18:16:00 +0530
Subject: [PATCH v5 1/2] Preserve relfilenode and tablespace OID in pg_upgrade
The patch aims to preserve the tablespace, relfilenode OIDs during binary
upgrade so that the OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 59 +++++++++---
src/backend/catalog/index.c | 19 +++-
src/backend/commands/tablespace.c | 17 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 +++++++++
src/bin/pg_dump/pg_dump.c | 104 +++++++++++++--------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/info.c | 31 +-----
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/bin/pg_upgrade/pg_upgrade.h | 10 +-
src/bin/pg_upgrade/relfilenode.c | 6 +-
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
15 files changed, 237 insertions(+), 108 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index 5fcd004..6560b19 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 81cc39f..ebd8454 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -286,7 +288,9 @@ SystemAttributeByName(const char *attname)
*
* Note API change: the caller must now always provide the OID
* to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * should) be left unspecified unless explicitly set in binary-upgrade mode.
+ *
+ * create_storage indicates whether or not to create the storage.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,9 +310,9 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool create_storage)
{
- bool create_storage;
Relation rel;
/* The caller must have provided an OID for the relation. */
@@ -366,17 +370,17 @@ heap_create(const char *relname,
break;
}
- /*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
- */
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ /* Don't create storage for relkinds without physical storage. */
+ if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else
{
- create_storage = true;
- relfilenode = relid;
+ /*
+ * If relfilenode is unspecified by the caller then create storage
+ * with oid same as relid.
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1171,6 +1175,9 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
@@ -1233,7 +1240,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade &&
(relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
relkind == RELKIND_VIEW || relkind == RELKIND_MATVIEW ||
@@ -1247,7 +1254,21 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ /* Override the relfilenode */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
}
+
/* There might be no TOAST table, so we have to test for it. */
else if (IsBinaryUpgrade &&
OidIsValid(binary_upgrade_next_toast_pg_class_oid) &&
@@ -1255,6 +1276,15 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ /* Override the toast relfilenode */
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
}
else
relid = GetNewRelFileNode(reltablespace, pg_class_desc,
@@ -1297,7 +1327,7 @@ heap_create_with_catalog(const char *relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1306,7 +1336,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ RELKIND_HAS_STORAGE(relkind));
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 26bfa74..88c82f9 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -86,6 +86,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -732,6 +733,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage;
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -739,6 +741,9 @@ index_create(Relation heapRelation,
/* partitioned indexes must never be "built" by themselves */
Assert(!partitioned || (flags & INDEX_CREATE_SKIP_BUILD));
+ /* Set the create_storage flag */
+ create_storage = !partitioned && !OidIsValid(relFileNode);
+
relkind = partitioned ? RELKIND_PARTITIONED_INDEX : RELKIND_INDEX;
is_exclusion = (indexInfo->ii_ExclusionOps != NULL);
@@ -903,7 +908,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -913,6 +918,15 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /* Overide the index relfilenode */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
}
else
{
@@ -939,7 +953,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 4b96eec..51ffa97 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,8 +336,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..135c382 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index e9f68e8..13213ff 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4693,73 +4693,101 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index c291017..618187c 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1265,6 +1265,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 5d9a26c..775564e 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -199,14 +199,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->old_db_oid = old_db->db_oid;
map->new_db_oid = new_db->db_oid;
- /*
- * old_relfilenode might differ from pg_class.oid (and hence
- * new_relfilenode) because of CLUSTER, REINDEX, or VACUUM FULL.
- */
- map->old_relfilenode = old_rel->relfilenode;
-
- /* new_relfilenode will match old and new pg_class.oid */
- map->new_relfilenode = new_rel->relfilenode;
+ /* relfilenode is preserved across old and new cluster */
+ map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
map->nspname = old_rel->nspname;
@@ -278,27 +272,6 @@ report_unmatched_relation(const RelInfo *rel, const DbInfo *db, bool is_new_db)
reloid, db->db_name, reldesc);
}
-
-void
-print_maps(FileNameMap *maps, int n_maps, const char *db_name)
-{
- if (log_opts.verbose)
- {
- int mapnum;
-
- pg_log(PG_VERBOSE, "mappings for database \"%s\":\n", db_name);
-
- for (mapnum = 0; mapnum < n_maps; mapnum++)
- pg_log(PG_VERBOSE, "%s.%s: %u to %u\n",
- maps[mapnum].nspname, maps[mapnum].relname,
- maps[mapnum].old_relfilenode,
- maps[mapnum].new_relfilenode);
-
- pg_log(PG_VERBOSE, "\n\n");
- }
-}
-
-
/*
* get_db_and_rel_infos()
*
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..acaf343 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index ca0795f..c79ddfc 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -159,13 +159,7 @@ typedef struct
const char *new_tablespace_suffix;
Oid old_db_oid;
Oid new_db_oid;
-
- /*
- * old/new relfilenodes might differ for pg_largeobject(_metadata) indexes
- * due to VACUUM FULL or REINDEX. Other relfilenodes are preserved.
- */
- Oid old_relfilenode;
- Oid new_relfilenode;
+ Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
char *relname;
@@ -390,8 +384,6 @@ FileNameMap *gen_db_file_maps(DbInfo *old_db,
DbInfo *new_db, int *nmaps, const char *old_pgdata,
const char *new_pgdata);
void get_db_and_rel_infos(ClusterInfo *cluster);
-void print_maps(FileNameMap *maps, int n,
- const char *db_name);
/* option.c */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 4deae7d..3bc5b44 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -119,8 +119,6 @@ transfer_all_new_dbs(DbInfoArr *old_db_arr, DbInfoArr *new_db_arr,
new_pgdata);
if (n_maps)
{
- print_maps(mappings, n_maps, new_db->db_name);
-
transfer_single_new_db(mappings, n_maps, old_tablespace);
}
/* We allocate something even for n_maps == 0 */
@@ -206,14 +204,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
map->old_tablespace,
map->old_tablespace_suffix,
map->old_db_oid,
- map->old_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
map->new_db_oid,
- map->new_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..4ba5748 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 6ce480b..7cf5402 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool create_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index d068d65..cd0a20d 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11036,6 +11036,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4544', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1ee65ed 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
v5-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v5-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From 554d92617025bb33d97a68b60697009c2ad2c030 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Tue, 26 Oct 2021 18:40:51 +0530
Subject: [PATCH v5 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs across binary upgrade
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 ++++++++++++++-
src/backend/commands/dbcommands.c | 35 ++++++++++++++++++++++++++++++-----
src/backend/parser/gram.y | 3 ++-
src/bin/initdb/initdb.c | 23 +++++++++++++++--------
src/bin/pg_dump/pg_dump.c | 16 ++++++++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 +++------
src/bin/pg_upgrade/pg_upgrade.h | 3 +--
src/bin/pg_upgrade/relfilenode.c | 4 ++--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 +++
src/include/catalog/unused_oids | 5 +++++
12 files changed, 91 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..fc108a8 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">db_oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The OID range for user objects starts from 16384. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..e8cdb7f 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /* Select an OID for the new database if is not explicitly configured. */
+ if (!OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index 08f1bf1..a8cdd43 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -687,7 +687,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10254,6 +10254,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 1ed4808..61cac6e 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1836,15 +1837,13 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Create template0 database with oid Template0ObjectId i.e, 4
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1877,6 +1876,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 13213ff..ce37bf4 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2957,8 +2957,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propogate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 775564e..fe1357d 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -196,10 +196,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -330,8 +328,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2",
+ "ORDER BY 1",
/* 9.2 removed the spclocation column */
(GET_MAJOR_VERSION(cluster->major_version) <= 901) ?
"t.spclocation" : "pg_catalog.pg_tablespace_location(t.oid)");
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index c79ddfc..937c45b 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -157,8 +157,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 3bc5b44..a4fc298 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -203,14 +203,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index ecae9df..b812f61 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2516,7 +2516,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index d22de19..716a319 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Templete0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 5b7ce5f..2750913 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
Sasasu <i@sasa.su> wrote:
On 2021/10/6 23:01, Robert Haas wrote:
This seems wrong to me. CTR requires that you not reuse the IV. If you
re-encrypt the page with a different IV, torn pages are a problem. If
you re-encrypt it with the same IV, then it's not secure any more.
for CBC if the IV is predictable will case "dictionary attack".
The following sounds like IV *uniqueness* is needed to defend against "known
plaintext attack" ...
and for CBC and GCM reuse IV will case "known plaintext attack".
... but here you seem to say that *randomness* is also necessary:
XTS works like CBC but adds a tweak step. the tweak step does not add
randomness. It means XTS still has "known plaintext attack",
(I suppose you mean "XTS with incorrect (e.g. non-random) IV", rather than XTS
as such.)
due to the same reason from CBC.
According to the Appendix C of
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38a.pdf
CBC requires *unpredictability* of the IV, but that does not necessarily mean
randomness: the unpredictable IV can be obtained by applying the forward
cipher function to an unique value.
Can you please try to explain once again what you consider a requirement
(uniqueness, randomness, etc.) on the IV for the XTS mode? Thanks.
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
On Tue, Oct 12, 2021 at 10:26:54AM -0400, Robert Haas wrote:
specifically: Appendix C: Tweaks
Quoting a couple of paragraphs from that appendix:
"""
In general, if there is information that is available and statically
associated with a plaintext, it is recommended to use that information
as a tweak for the plaintext. Ideally, the non-secret tweak associated
with a plaintext is associated only with that plaintext.Extensive tweaking means that fewer plaintexts are encrypted under any
given tweak. This corresponds, in the security model that is described
in [1], to fewer queries to the target instance of the encryption.
"""The gist of this being- the more diverse the tweaking being used, the
better. That's where I was going with my "limit the risk" comment. If
we can make the tweak vary more for a given encryption invokation,
that's going to be better, pretty much by definition, and as explained
in publications by NIST.I mean I don't have anything against that appendix, but I think we
need to understand - with confidence - what the expectations are
specifically around XTS, and that appendix seems much more general
than that.
Since there has not been activity on this thread for one month, I have
updated the Postgres TDE wiki to include the conclusions and discussions
from this thread:
https://wiki.postgresql.org/wiki/Transparent_Data_Encryption
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Tue, Oct 26, 2021 at 6:55 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have revised the patch w.r.t the way 'create_storage' is interpreted
in heap_create() along with some minor changes to preserve the DBOID
patch.
Hi Shruthi,
I am reviewing the attached patches and providing a few comments here
below for patch "v5-0002-Preserve-database-OIDs-in-pg_upgrade.patch"
1.
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable
class="parameter">name</replaceable>
- [ IS_TEMPLATE [=] <replaceable
class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable
class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable
class="parameter">db_oid</replaceable> ] ]Replace "db_oid" with 'oid'. Below in the listitem, we have mentioned 'oid'.
2.
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user
objects %u.",
+ dboid, FirstNormalObjectId));
+ }Are we sure that 'IsBinaryUpgrade' will be set properly, before the
createdb function is called? Can we recheck once ?
3.
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /* Select an OID for the new database if is not explicitly configured. */
+ if (!OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));I think we need to do 'check_db_file_conflict' for the USER given OID
also.. right? It may already be present.
4.
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c/*
+ * Create template0 database with oid Template0ObjectId i.e, 4
+ */
+Better to mention here, why OID 4 is reserved for template0 database?.
5.
+ /*
+ * Create template0 database with oid Template0ObjectId i.e, 4
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID "
+ CppAsString2(Template0ObjectId) ";\n\n",Can we write something like, 'OID = CppAsString2(Template0ObjectId)'?
mention "=".
6.
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+Make the above comment a single line comment.
7.
There are some spelling mistakes in the comments as below, please
correct the same
+ /*
+ * Make sure that binary upgrade propogate the database OID to the
new =====> correct spelling
+ * cluster
+ */+/* OID 4 is reserved for Templete0 database */
====> Correct spelling
+#define Template0ObjectId 4I am reviewing another patch
"v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg" as well
and will provide the comments soon if any...
Thanks & Regards
SadhuPrasad
EnterpriseDB: http://www.enterprisedb.com
On Sun, Dec 5, 2021 at 11:44 PM Sadhuprasad Patro <b.sadhu@gmail.com> wrote:
1. --- a/doc/src/sgml/ref/create_database.sgml +++ b/doc/src/sgml/ref/create_database.sgml @@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable> - [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ] + [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] + [ OID [=] <replaceable class="parameter">db_oid</replaceable> ] ]Replace "db_oid" with 'oid'. Below in the listitem, we have mentioned 'oid'.
I agree that the listitem and the synopsis need to be consistent, but
it could be made consistent either by changing that one to db_oid or
this one to oid.
2. --- a/src/backend/commands/dbcommands.c +++ b/src/backend/commands/dbcommands.c + if ((dboid < FirstNormalObjectId) && + (strcmp(dbname, "template0") != 0) && + (!IsBinaryUpgrade)) + ereport(ERROR, + (errcode(ERRCODE_INVALID_PARAMETER_VALUE)), + errmsg("Invalid value for option \"%s\"", defel->defname), + errhint("The specified OID %u is less than the minimum OID for user objects %u.", + dboid, FirstNormalObjectId)); + }Are we sure that 'IsBinaryUpgrade' will be set properly, before the
createdb function is called? Can we recheck once ?
How could it be set incorrectly, and how could we recheck this?
3.
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);- do + /* Select an OID for the new database if is not explicitly configured. */ + if (!OidIsValid(dboid)) { - dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId, - Anum_pg_database_oid); - } while (check_db_file_conflict(dboid));I think we need to do 'check_db_file_conflict' for the USER given OID
also.. right? It may already be present.
Hopefully, if that happens, we straight up fail later on.
4. --- a/src/bin/initdb/initdb.c +++ b/src/bin/initdb/initdb.c/* + * Create template0 database with oid Template0ObjectId i.e, 4 + */ +Better to mention here, why OID 4 is reserved for template0 database?.
I'm not sure how we would give a reason for selecting an arbitrary
constant? We could perhaps explain why we use a fixed OID. But there's
no reason it has to be 4, I think.
5. + /* + * Create template0 database with oid Template0ObjectId i.e, 4 + */ + static const char *const template0_setup[] = { + "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID " + CppAsString2(Template0ObjectId) ";\n\n",Can we write something like, 'OID = CppAsString2(Template0ObjectId)'?
mention "=".
That seems like a good idea, because it would be more consistent.
6. + + /* + * We use the OID of postgres to determine datlastsysoid + */ + "UPDATE pg_database SET datlastsysoid = " + " (SELECT oid FROM pg_database " + " WHERE datname = 'postgres');\n\n", +Make the above comment a single line comment.
I think what Shruthi did is more correct. It doesn't have to be done
as a single-line comment just because it can fit on one line. And
Shruthi didn't write this comment anyway, it's only moved slightly
from where it was before.
7. There are some spelling mistakes in the comments as below, please correct the same + /* + * Make sure that binary upgrade propogate the database OID to the new =====> correct spelling + * cluster + */+/* OID 4 is reserved for Templete0 database */ ====> Correct spelling +#define Template0ObjectId 4
Yes, those would be good to fix.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Mon, Dec 6, 2021 at 10:14 AM Sadhuprasad Patro <b.sadhu@gmail.com> wrote:
On Tue, Oct 26, 2021 at 6:55 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have revised the patch w.r.t the way 'create_storage' is interpreted
in heap_create() along with some minor changes to preserve the DBOID
patch.Hi Shruthi,
I am reviewing the attached patches and providing a few comments here
below for patch "v5-0002-Preserve-database-OIDs-in-pg_upgrade.patch"1. --- a/doc/src/sgml/ref/create_database.sgml +++ b/doc/src/sgml/ref/create_database.sgml @@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable> - [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ] + [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] + [ OID [=] <replaceable class="parameter">db_oid</replaceable> ] ]Replace "db_oid" with 'oid'. Below in the listitem, we have mentioned 'oid'.
Replaced "db_oid" with "oid"
2. --- a/src/backend/commands/dbcommands.c +++ b/src/backend/commands/dbcommands.c + if ((dboid < FirstNormalObjectId) && + (strcmp(dbname, "template0") != 0) && + (!IsBinaryUpgrade)) + ereport(ERROR, + (errcode(ERRCODE_INVALID_PARAMETER_VALUE)), + errmsg("Invalid value for option \"%s\"", defel->defname), + errhint("The specified OID %u is less than the minimum OID for user objects %u.", + dboid, FirstNormalObjectId)); + }Are we sure that 'IsBinaryUpgrade' will be set properly, before the
createdb function is called? Can we recheck once ?
I believe 'IsBinaryUpgrade' will be set to true when pg_upgrade is invoked.
pg_ugrade internally does pg_dump and pg_restore for every database in
the cluster.
3.
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);- do + /* Select an OID for the new database if is not explicitly configured. */ + if (!OidIsValid(dboid)) { - dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId, - Anum_pg_database_oid); - } while (check_db_file_conflict(dboid));I think we need to do 'check_db_file_conflict' for the USER given OID
also.. right? It may already be present.
If a datafile with user-specified OID exists, the create database
fails with the below error.
postgres=# create database d2 oid 16452;
ERROR: could not create directory "base/16452": File exists
4. --- a/src/bin/initdb/initdb.c +++ b/src/bin/initdb/initdb.c/* + * Create template0 database with oid Template0ObjectId i.e, 4 + */ +Better to mention here, why OID 4 is reserved for template0 database?.
The comment is updated to explain why template0 oid is fixed.
5. + /* + * Create template0 database with oid Template0ObjectId i.e, 4 + */ + static const char *const template0_setup[] = { + "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID " + CppAsString2(Template0ObjectId) ";\n\n",Can we write something like, 'OID = CppAsString2(Template0ObjectId)'?
mention "=".
Fixed
6. + + /* + * We use the OID of postgres to determine datlastsysoid + */ + "UPDATE pg_database SET datlastsysoid = " + " (SELECT oid FROM pg_database " + " WHERE datname = 'postgres');\n\n", +Make the above comment a single line comment.
As Robert confirmed, this part of the code is moved from a different place.
7. There are some spelling mistakes in the comments as below, please correct the same + /* + * Make sure that binary upgrade propogate the database OID to the new =====> correct spelling + * cluster + */+/* OID 4 is reserved for Templete0 database */ ====> Correct spelling +#define Template0ObjectId 4
Fixed.
I am reviewing another patch
"v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg" as well
and will provide the comments soon if any...
Thanks. I have rebased relfilenode oid preserve patch. You may use the
rebased patch for review.
Thanks & Regards
Shruthi K C
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v6-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchapplication/octet-stream; name=v6-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg.patchDownload
From 9bbddded62ab81499bd8dabf351258cff32fe733 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Sun, 12 Dec 2021 23:26:31 +0530
Subject: [PATCH v6 1/2] Preserve relfilenode and tablespace OID in pg_upgrade
The patch aims to preserve the tablespace, relfilenode OIDs during binary
upgrade so that the OIDs are same across old and new cluster.
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 58 +++++++++---
src/backend/catalog/index.c | 19 +++-
src/backend/commands/tablespace.c | 17 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 +++++++++
src/bin/pg_dump/pg_dump.c | 104 +++++++++++++--------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/info.c | 31 +-----
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/bin/pg_upgrade/pg_upgrade.h | 10 +-
src/bin/pg_upgrade/relfilenode.c | 6 +-
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
15 files changed, 236 insertions(+), 108 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index 5fcd004..6560b19 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 6780ec5..6c1abd4 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -286,7 +288,9 @@ SystemAttributeByName(const char *attname)
*
* Note API change: the caller must now always provide the OID
* to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * should) be left unspecified unless explicitly set in binary-upgrade mode.
+ *
+ * create_storage indicates whether or not to create the storage.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,9 +310,9 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool create_storage)
{
- bool create_storage;
Relation rel;
/* The caller must have provided an OID for the relation. */
@@ -343,17 +347,17 @@ heap_create(const char *relname,
if (!RELKIND_HAS_TABLESPACE(relkind))
reltablespace = InvalidOid;
- /*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
- */
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ /* Don't create storage for relkinds without physical storage. */
+ if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else
{
- create_storage = true;
- relfilenode = relid;
+ /*
+ * If relfilenode is unspecified by the caller then create storage
+ * with oid same as relid.
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1121,6 +1125,9 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
@@ -1183,7 +1190,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
/*
@@ -1200,6 +1207,15 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ /* Override the toast relfilenode */
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
}
}
else
@@ -1211,6 +1227,19 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ /* Override the relfilenode */
+ if (relkind == RELKIND_RELATION || relkind == RELKIND_SEQUENCE ||
+ relkind == RELKIND_MATVIEW)
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
}
}
@@ -1255,7 +1284,7 @@ heap_create_with_catalog(const char *relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1264,7 +1293,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ RELKIND_HAS_STORAGE(relkind));
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 1757cd3..a4d1f9c 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -87,6 +87,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -733,6 +734,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage;
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -740,6 +742,9 @@ index_create(Relation heapRelation,
/* partitioned indexes must never be "built" by themselves */
Assert(!partitioned || (flags & INDEX_CREATE_SKIP_BUILD));
+ /* Set the create_storage flag */
+ create_storage = !partitioned && !OidIsValid(relFileNode);
+
relkind = partitioned ? RELKIND_PARTITIONED_INDEX : RELKIND_INDEX;
is_exclusion = (indexInfo->ii_ExclusionOps != NULL);
@@ -904,7 +909,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -914,6 +919,15 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /* Overide the index relfilenode */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
}
else
{
@@ -940,7 +954,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 4b96eec..51ffa97 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,8 +336,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7..135c382 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 10a86f9..b41d86b 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4836,73 +4836,101 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
- /*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
- */
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ /* Not every relation has storage. */
+ if (OidIsValid(relfilenode))
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index 27b9573..3f42316 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1222,6 +1222,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 5d9a26c..775564e 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -199,14 +199,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->old_db_oid = old_db->db_oid;
map->new_db_oid = new_db->db_oid;
- /*
- * old_relfilenode might differ from pg_class.oid (and hence
- * new_relfilenode) because of CLUSTER, REINDEX, or VACUUM FULL.
- */
- map->old_relfilenode = old_rel->relfilenode;
-
- /* new_relfilenode will match old and new pg_class.oid */
- map->new_relfilenode = new_rel->relfilenode;
+ /* relfilenode is preserved across old and new cluster */
+ map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
map->nspname = old_rel->nspname;
@@ -278,27 +272,6 @@ report_unmatched_relation(const RelInfo *rel, const DbInfo *db, bool is_new_db)
reloid, db->db_name, reldesc);
}
-
-void
-print_maps(FileNameMap *maps, int n_maps, const char *db_name)
-{
- if (log_opts.verbose)
- {
- int mapnum;
-
- pg_log(PG_VERBOSE, "mappings for database \"%s\":\n", db_name);
-
- for (mapnum = 0; mapnum < n_maps; mapnum++)
- pg_log(PG_VERBOSE, "%s.%s: %u to %u\n",
- maps[mapnum].nspname, maps[mapnum].relname,
- maps[mapnum].old_relfilenode,
- maps[mapnum].new_relfilenode);
-
- pg_log(PG_VERBOSE, "\n\n");
- }
-}
-
-
/*
* get_db_and_rel_infos()
*
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd7..acaf343 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index ca0795f..c79ddfc 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -159,13 +159,7 @@ typedef struct
const char *new_tablespace_suffix;
Oid old_db_oid;
Oid new_db_oid;
-
- /*
- * old/new relfilenodes might differ for pg_largeobject(_metadata) indexes
- * due to VACUUM FULL or REINDEX. Other relfilenodes are preserved.
- */
- Oid old_relfilenode;
- Oid new_relfilenode;
+ Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
char *relname;
@@ -390,8 +384,6 @@ FileNameMap *gen_db_file_maps(DbInfo *old_db,
DbInfo *new_db, int *nmaps, const char *old_pgdata,
const char *new_pgdata);
void get_db_and_rel_infos(ClusterInfo *cluster);
-void print_maps(FileNameMap *maps, int n,
- const char *db_name);
/* option.c */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 4deae7d..3bc5b44 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -119,8 +119,6 @@ transfer_all_new_dbs(DbInfoArr *old_db_arr, DbInfoArr *new_db_arr,
new_pgdata);
if (n_maps)
{
- print_maps(mappings, n_maps, new_db->db_name);
-
transfer_single_new_db(mappings, n_maps, old_tablespace);
}
/* We allocate something even for n_maps == 0 */
@@ -206,14 +204,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
map->old_tablespace,
map->old_tablespace_suffix,
map->old_db_oid,
- map->old_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
map->new_db_oid,
- map->new_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7..4ba5748 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 6ce480b..7cf5402 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool create_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index 79d787c..92727d8 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11058,6 +11058,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4548', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1ee65ed 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
v6-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v6-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From b0694cc31feb241eb82fda6f83897df784c66cfd Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Mon, 13 Dec 2021 19:30:28 +0530
Subject: [PATCH v6 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs across binary upgrade
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 ++++++++++++++-
src/backend/commands/dbcommands.c | 35 ++++++++++++++++++++++++++++++-----
src/backend/parser/gram.y | 3 ++-
src/bin/initdb/initdb.c | 24 ++++++++++++++++--------
src/bin/pg_dump/pg_dump.c | 16 ++++++++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 +++------
src/bin/pg_upgrade/pg_upgrade.h | 3 +--
src/bin/pg_upgrade/relfilenode.c | 4 ++--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 +++
src/include/catalog/unused_oids | 5 +++++
12 files changed, 92 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..94d4cfb 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The OID range for user objects starts from 16384. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..e8cdb7f 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /* Select an OID for the new database if is not explicitly configured. */
+ if (!OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index 3d4dd43..9572f9a 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -711,7 +711,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10416,6 +10416,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 403adb0..31aa21a 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,15 +1839,14 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Template0 oid is fixed during initdb to avoid oid conflict across versions
+ * during binary upgrade.
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1879,6 +1879,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index b41d86b..62e418c 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -3018,8 +3018,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 775564e..fe1357d 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -196,10 +196,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -330,8 +328,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2",
+ "ORDER BY 1",
/* 9.2 removed the spclocation column */
(GET_MAJOR_VERSION(cluster->major_version) <= 901) ?
"t.spclocation" : "pg_catalog.pg_tablespace_location(t.oid)");
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index c79ddfc..937c45b 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -157,8 +157,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 3bc5b44..a4fc298 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -203,14 +203,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 2f412ca..414d709 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2587,7 +2587,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index d22de19..d06e3a9 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Template0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 5b7ce5f..2750913 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
On Mon, Dec 6, 2021 at 11:25 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Sun, Dec 5, 2021 at 11:44 PM Sadhuprasad Patro <b.sadhu@gmail.com> wrote:
3.
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);- do + /* Select an OID for the new database if is not explicitly configured. */ + if (!OidIsValid(dboid)) { - dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId, - Anum_pg_database_oid); - } while (check_db_file_conflict(dboid));I think we need to do 'check_db_file_conflict' for the USER given OID
also.. right? It may already be present.Hopefully, if that happens, we straight up fail later on.
That's right. If a database with user-specified OID exists, the
createdb fails with a "duplicate key value" error.
If just a data directory with user-specified OID exists,
MakePGDirectory() fails to create the directory and the cleanup
callback createdb_failure_callback() removes the directory that was
not created by 'createdb()' function.
The subsequent create database call with the same OID will succeed.
Should we handle the case where a data directory exists and the
corresponding DB with that oid does not exist? I presume this
situation doesn't arise unless the user tries to create directories in
the data path. Any thoughts?
Thanks & Regards
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
On Mon, Dec 13, 2021 at 9:40 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I am reviewing another patch
"v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg" as well
and will provide the comments soon if any...
I spent much of today reviewing 0001. Here's an updated version, so
far only lightly tested. Please check whether I've broken anything.
Here are the changes:
- I adjusted the function header comment for heap_create. Your
proposed comment seemed like it was pretty detailed but not 100%
correct. It also made one of the lines kind of long because you didn't
wrap the text in the surrounding style. I decided to make it simpler
and shorter instead of longer still and 100% correct.
- I removed a one-line comment that said /* Override the toast
relfilenode */ because it preceded an error check, not a line of code
that would have done what the comment claimed.
- I removed a one-line comment that said /* Override the relfilenode
*/ because the following code would only sometimes override the
relfilenode. The code didn't seem complex enough to justify a a longer
and more accurate comment, so I just took it out.
- I changed a test for (relkind == RELKIND_RELATION || relkind ==
RELKIND_SEQUENCE || relkind == RELKIND_MATVIEW) to use
RELKIND_HAS_STORAGE(). It's true that not all of the storage types
that RELKIND_HAS_STORAGE() tests are possible here, but that's not a
reason to avoiding using the macro. If somebody adds a new relkind
with storage in the future, they might miss the need to manually
update this place, but they will not likely miss the need to update
RELKIND_HAS_STORAGE() since, if they did, their code probably wouldn't
work at all.
- I changed the way that you were passing create_storage down to
heap_create. I think I said before that you should EITHER fix it so
that we set create_storage = true only when the relation actually has
storage OR ELSE have heap_create() itself override the value to false
when there is no storage. You did both. There are times when it's
reasonable to ensure the same thing in multiple places, but this
doesn't seem to be one of them. So I took that out. I chose to retain
the code in heap_create() that overrides the value to false, added a
comment explaining that it does that, and then adjusted the callers to
ignore the storage type. I then added comments, and in one place an
assertion, to make it clearer what is happening.
- In pg_dump.c, I adjusted the comment that says "Not every relation
has storage." and the test that immediately follows, to ignore the
relfilenode when relkind says it's a partitioned table. Really,
partitioned tables should never have had relfilenodes, but as it turns
out, they used to have them.
Let me know your thoughts.
--
Robert Haas
EDB: http://www.enterprisedb.com
Attachments:
v7-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patchapplication/octet-stream; name=v7-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patchDownload
From e24c58382415ceefe247b6961cd6995b3e413214 Mon Sep 17 00:00:00 2001
From: Robert Haas <rhaas@postgresql.org>
Date: Mon, 13 Dec 2021 15:40:13 -0500
Subject: [PATCH v7] pg_upgrade: Preserve relfilenodes and tablespace OIDs.
The fact that relfilenodes and tablespace OIDs change when a cluster
is upgraded can be confusing for people trying to troubleshoot
problems with pg_upgrade. It also isn't much fun if you're trying
to use 'rsync' or similar to update a standby after upgrading the
master. And if in the future we ever encrypt blocks, we might want
to use a salt or nonce that depends on the relfilenode and
tablespace OID. For all of these reasons, arrange for pg_dump to
preserve them as it already does for relation OIDs.
Database OIDs have a similar issue, but there are some tricky points
in that case that do not apply to these cases, so that problem is left
for another patch.
Shruthi KC, based on an earlier patch from Antonin Houska, reviewed
and with some adjustments by me.
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 63 ++++++++---
src/backend/catalog/index.c | 23 +++-
src/backend/commands/tablespace.c | 17 ++-
src/backend/utils/adt/pg_upgrade_support.c | 44 ++++++++
src/bin/pg_dump/pg_dump.c | 104 ++++++++++++------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/info.c | 31 +-----
src/bin/pg_upgrade/pg_upgrade.c | 13 ++-
src/bin/pg_upgrade/pg_upgrade.h | 10 +-
src/bin/pg_upgrade/relfilenode.c | 6 +-
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 +++
.../expected/spgist_name_ops.out | 12 +-
15 files changed, 246 insertions(+), 107 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index 5fcd004e1b..6560b19e14 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 6780ec53b7..11bbb9a768 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -285,8 +287,12 @@ SystemAttributeByName(const char *attname)
* heap_create - Create an uncataloged heap relation
*
* Note API change: the caller must now always provide the OID
- * to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * to use for the relation. The relfilenode may be (and in
+ * the simplest cases is) left unspecified.
+ *
+ * create_storage indicates whether or not to create the storage.
+ * However, even if create_storage is true, no storage will be
+ * created if the relkind is one that doesn't have storage.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,9 +312,9 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool create_storage)
{
- bool create_storage;
Relation rel;
/* The caller must have provided an OID for the relation. */
@@ -343,17 +349,17 @@ heap_create(const char *relname,
if (!RELKIND_HAS_TABLESPACE(relkind))
reltablespace = InvalidOid;
- /*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
- */
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ /* Don't create storage for relkinds without physical storage. */
+ if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else
{
- create_storage = true;
- relfilenode = relid;
+ /*
+ * If relfilenode is unspecified by the caller then create storage
+ * with oid same as relid.
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1121,6 +1127,9 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
@@ -1183,7 +1192,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
/*
@@ -1200,6 +1209,14 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
}
}
else
@@ -1211,6 +1228,17 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ if (RELKIND_HAS_STORAGE(relkind))
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
}
}
@@ -1250,12 +1278,16 @@ heap_create_with_catalog(const char *relname,
* Create the relcache entry (mostly dummy at this point) and the physical
* disk file. (If we fail further down, it's the smgr's responsibility to
* remove the disk file again.)
+ *
+ * NB: Note that passing create_storage = true is correct even for binary
+ * upgrade. The storage we create here will be replaced later, but we need
+ * to have something on disk in the meanwhile.
*/
new_rel_desc = heap_create(relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1264,7 +1296,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 1757cd3446..88f2d60f01 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -87,6 +87,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -733,6 +734,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage = !OidIsValid(relFileNode);
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -904,7 +906,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -914,6 +916,22 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /* Overide the index relfilenode */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+
+ /*
+ * Note that we want create_storage = true for binary upgrade.
+ * The storage we create here will be replaced later, but we need
+ * to have something on disk in the meanwhile.
+ */
+ Assert(create_storage);
}
else
{
@@ -940,7 +958,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 4b96eec9df..51ffa97576 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -88,6 +88,7 @@
char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -335,8 +336,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index b5b46d7231..135c382371 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -29,6 +29,17 @@ do { \
errmsg("function can only be called when server is in binary upgrade mode"))); \
} while (0)
+Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
@@ -84,6 +95,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
PG_RETURN_VOID();
}
+Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
@@ -95,6 +117,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
PG_RETURN_VOID();
}
+Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
@@ -106,6 +139,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
PG_RETURN_VOID();
}
+Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 10a86f9810..8a8ea596bf 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4836,73 +4836,105 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
/*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
+ * Not every relation has storage. Also, in a pre-v12 database,
+ * partitioned tables have a relfilenode, which should not be preserved
+ * when upgrading.
*/
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ if (OidIsValid(relfilenode) && relkind != RELKIND_PARTITIONED_TABLE)
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index 27b95732c8..3f42316a84 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1222,6 +1222,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 5d9a26cf82..775564e580 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -199,14 +199,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->old_db_oid = old_db->db_oid;
map->new_db_oid = new_db->db_oid;
- /*
- * old_relfilenode might differ from pg_class.oid (and hence
- * new_relfilenode) because of CLUSTER, REINDEX, or VACUUM FULL.
- */
- map->old_relfilenode = old_rel->relfilenode;
-
- /* new_relfilenode will match old and new pg_class.oid */
- map->new_relfilenode = new_rel->relfilenode;
+ /* relfilenode is preserved across old and new cluster */
+ map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
map->nspname = old_rel->nspname;
@@ -278,27 +272,6 @@ report_unmatched_relation(const RelInfo *rel, const DbInfo *db, bool is_new_db)
reloid, db->db_name, reldesc);
}
-
-void
-print_maps(FileNameMap *maps, int n_maps, const char *db_name)
-{
- if (log_opts.verbose)
- {
- int mapnum;
-
- pg_log(PG_VERBOSE, "mappings for database \"%s\":\n", db_name);
-
- for (mapnum = 0; mapnum < n_maps; mapnum++)
- pg_log(PG_VERBOSE, "%s.%s: %u to %u\n",
- maps[mapnum].nspname, maps[mapnum].relname,
- maps[mapnum].old_relfilenode,
- maps[mapnum].new_relfilenode);
-
- pg_log(PG_VERBOSE, "\n\n");
- }
-}
-
-
/*
* get_db_and_rel_infos()
*
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 3628bd74a7..acaf343fb9 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index ca0795f68f..c79ddfc6e4 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -159,13 +159,7 @@ typedef struct
const char *new_tablespace_suffix;
Oid old_db_oid;
Oid new_db_oid;
-
- /*
- * old/new relfilenodes might differ for pg_largeobject(_metadata) indexes
- * due to VACUUM FULL or REINDEX. Other relfilenodes are preserved.
- */
- Oid old_relfilenode;
- Oid new_relfilenode;
+ Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
char *relname;
@@ -390,8 +384,6 @@ FileNameMap *gen_db_file_maps(DbInfo *old_db,
DbInfo *new_db, int *nmaps, const char *old_pgdata,
const char *new_pgdata);
void get_db_and_rel_infos(ClusterInfo *cluster);
-void print_maps(FileNameMap *maps, int n,
- const char *db_name);
/* option.c */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 4deae7d985..3bc5b44199 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -119,8 +119,6 @@ transfer_all_new_dbs(DbInfoArr *old_db_arr, DbInfoArr *new_db_arr,
new_pgdata);
if (n_maps)
{
- print_maps(mappings, n_maps, new_db->db_name);
-
transfer_single_new_db(mappings, n_maps, old_tablespace);
}
/* We allocate something even for n_maps == 0 */
@@ -206,14 +204,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
map->old_tablespace,
map->old_tablespace_suffix,
map->old_db_oid,
- map->old_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
map->new_db_oid,
- map->new_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index f6e82e7ac5..4ba5748e0a 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 6ce480b49c..7cf5402e5a 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool create_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index 79d787cd26..92727d893f 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11058,6 +11058,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4548', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddcecea..1ee65ede24 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
2.24.3 (Apple Git-128)
On Tue, Dec 14, 2021 at 2:35 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Dec 13, 2021 at 9:40 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I am reviewing another patch
"v5-0001-Preserve-relfilenode-and-tablespace-OID-in-pg_upg" as well
and will provide the comments soon if any...I spent much of today reviewing 0001. Here's an updated version, so
far only lightly tested. Please check whether I've broken anything.
Here are the changes:
Thanks, Robert for the updated version. I reviewed the changes and it
looks fine.
I also tested the patch. The patch works as expected.
- I adjusted the function header comment for heap_create. Your
proposed comment seemed like it was pretty detailed but not 100%
correct. It also made one of the lines kind of long because you didn't
wrap the text in the surrounding style. I decided to make it simpler
and shorter instead of longer still and 100% correct.
The comment update looks fine. However, I still feel it would be good to
mention on which (rare) circumstance a valid relfilenode can get passed.
- I removed a one-line comment that said /* Override the toast
relfilenode */ because it preceded an error check, not a line of code
that would have done what the comment claimed.- I removed a one-line comment that said /* Override the relfilenode
*/ because the following code would only sometimes override the
relfilenode. The code didn't seem complex enough to justify a a longer
and more accurate comment, so I just took it out.
Fine
- I changed a test for (relkind == RELKIND_RELATION || relkind ==
RELKIND_SEQUENCE || relkind == RELKIND_MATVIEW) to use
RELKIND_HAS_STORAGE(). It's true that not all of the storage types
that RELKIND_HAS_STORAGE() tests are possible here, but that's not a
reason to avoiding using the macro. If somebody adds a new relkind
with storage in the future, they might miss the need to manually
update this place, but they will not likely miss the need to update
RELKIND_HAS_STORAGE() since, if they did, their code probably wouldn't
work at all.
I agree.
- I changed the way that you were passing create_storage down to
heap_create. I think I said before that you should EITHER fix it so
that we set create_storage = true only when the relation actually has
storage OR ELSE have heap_create() itself override the value to false
when there is no storage. You did both. There are times when it's
reasonable to ensure the same thing in multiple places, but this
doesn't seem to be one of them. So I took that out. I chose to retain
the code in heap_create() that overrides the value to false, added a
comment explaining that it does that, and then adjusted the callers to
ignore the storage type. I then added comments, and in one place an
assertion, to make it clearer what is happening.
The changes are fine. Thanks for the fine-tuning.
- In pg_dump.c, I adjusted the comment that says "Not every relation
has storage." and the test that immediately follows, to ignore the
relfilenode when relkind says it's a partitioned table. Really,
partitioned tables should never have had relfilenodes, but as it turns
out, they used to have them.
Fine. Understood.
Thanks & Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
On 12/14/21 2:35 AM, Robert Haas wrote:
I spent much of today reviewing 0001. Here's an updated version, so
far only lightly tested. Please check whether I've broken anything.
Thanks Robert, I tested from v96/12/13/v14 -> v15( with patch)
things are working fine i.e table /index relfilenode is preserved,
not changing after pg_upgrade.
--
regards,tushar
EnterpriseDB https://www.enterprisedb.com/
The Enterprise PostgreSQL Company
On 12/15/21 12:09 AM, tushar wrote:
I spent much of today reviewing 0001. Here's an updated version, so
far only lightly tested. Please check whether I've broken anything.Thanks Robert, I tested from v96/12/13/v14 -> v15( with patch)
things are working fine i.e table /index relfilenode is preserved,
not changing after pg_upgrade.
I covered tablespace OIDs testing scenarios and that is also preserved
after pg_upgrade.
--
regards,tushar
EnterpriseDB https://www.enterprisedb.com/
The Enterprise PostgreSQL Company
On Mon, Dec 13, 2021 at 8:43 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
On Mon, Dec 6, 2021 at 11:25 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Sun, Dec 5, 2021 at 11:44 PM Sadhuprasad Patro <b.sadhu@gmail.com> wrote:
3.
@@ -504,11 +525,15 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);- do + /* Select an OID for the new database if is not explicitly configured. */ + if (!OidIsValid(dboid)) { - dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId, - Anum_pg_database_oid); - } while (check_db_file_conflict(dboid));I think we need to do 'check_db_file_conflict' for the USER given OID
also.. right? It may already be present.Hopefully, if that happens, we straight up fail later on.
That's right. If a database with user-specified OID exists, the
createdb fails with a "duplicate key value" error.
If just a data directory with user-specified OID exists,
MakePGDirectory() fails to create the directory and the cleanup
callback createdb_failure_callback() removes the directory that was
not created by 'createdb()' function.
The subsequent create database call with the same OID will succeed.
Should we handle the case where a data directory exists and the
corresponding DB with that oid does not exist? I presume this
situation doesn't arise unless the user tries to create directories in
the data path. Any thoughts?
I have updated the DBOID preserve patch to handle this case and
generated the latest patch on top of your v7-001-preserve-relfilenode
patch.
Thanks & Regards
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v7-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v7-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From 84cbe8cc7202fbb643d5ee9204cddab6d7ef856c Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Fri, 17 Dec 2021 12:55:27 +0530
Subject: [PATCH v7 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs across binary upgrade
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 +++++++++-
src/backend/commands/dbcommands.c | 54 +++++++++++++++++++++++++++++++----
src/backend/parser/gram.y | 3 +-
src/bin/initdb/initdb.c | 24 ++++++++++------
src/bin/pg_dump/pg_dump.c | 16 +++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 ++
src/include/catalog/unused_oids | 5 ++++
12 files changed, 111 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..94d4cfb 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The OID range for user objects starts from 16384. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 029fab4..2852cfd 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
+ {
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database oid %u is already used by database %s",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory exists for database oid %u", dboid));
+ }
+ else
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index 3d4dd43..9572f9a 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -711,7 +711,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10416,6 +10416,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 03b80f9..34abb30 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,15 +1839,14 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Template0 oid is fixed during initdb to avoid oid conflict across versions
+ * during binary upgrade.
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1879,6 +1879,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index c3609af..97193cf 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2840,8 +2840,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index ded8cbe..e74ee12 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index b59252b..26ef6fc 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index ea3f3d4..cfb2347 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index b524dc8..9c8b0b0 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2587,7 +2587,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index d22de19..d06e3a9 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Template0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 5b7ce5f..2750913 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
Hi,
On Fri, Dec 17, 2021 at 01:03:06PM +0530, Shruthi Gowda wrote:
I have updated the DBOID preserve patch to handle this case and
generated the latest patch on top of your v7-001-preserve-relfilenode
patch.
The cfbot reports that the patch doesn't apply anymore:
http://cfbot.cputube.org/patch_36_3296.log
=== Applying patches on top of PostgreSQL commit ID 5513dc6a304d8bda114004a3b906cc6fde5d6274 ===
=== applying patch ./v7-0002-Preserve-database-OIDs-in-pg_upgrade.patch
[...]
patching file src/bin/pg_upgrade/info.c
Hunk #1 FAILED at 190.
Hunk #2 succeeded at 351 (offset 27 lines).
1 out of 2 hunks FAILED -- saving rejects to file src/bin/pg_upgrade/info.c.rej
patching file src/bin/pg_upgrade/pg_upgrade.h
Hunk #1 FAILED at 145.
1 out of 1 hunk FAILED -- saving rejects to file src/bin/pg_upgrade/pg_upgrade.h.rej
patching file src/bin/pg_upgrade/relfilenode.c
Hunk #1 FAILED at 193.
1 out of 1 hunk FAILED -- saving rejects to file src/bin/pg_upgrade/relfilenode.c.rej
Could you send a rebased version? In the meantime I willl switch the cf entry
to Waiting on Author.
On Sat, Jan 15, 2022 at 11:17 AM Julien Rouhaud <rjuju123@gmail.com> wrote:
Hi,
On Fri, Dec 17, 2021 at 01:03:06PM +0530, Shruthi Gowda wrote:
I have updated the DBOID preserve patch to handle this case and
generated the latest patch on top of your v7-001-preserve-relfilenode
patch.The cfbot reports that the patch doesn't apply anymore:
http://cfbot.cputube.org/patch_36_3296.log
=== Applying patches on top of PostgreSQL commit ID 5513dc6a304d8bda114004a3b906cc6fde5d6274 ===
=== applying patch ./v7-0002-Preserve-database-OIDs-in-pg_upgrade.patch
[...]
patching file src/bin/pg_upgrade/info.c
Hunk #1 FAILED at 190.
Hunk #2 succeeded at 351 (offset 27 lines).
1 out of 2 hunks FAILED -- saving rejects to file src/bin/pg_upgrade/info.c.rej
patching file src/bin/pg_upgrade/pg_upgrade.h
Hunk #1 FAILED at 145.
1 out of 1 hunk FAILED -- saving rejects to file src/bin/pg_upgrade/pg_upgrade.h.rej
patching file src/bin/pg_upgrade/relfilenode.c
Hunk #1 FAILED at 193.
1 out of 1 hunk FAILED -- saving rejects to file src/bin/pg_upgrade/relfilenode.c.rejCould you send a rebased version? In the meantime I willl switch the cf entry
to Waiting on Author.
I have rebased and generated the patches on top of PostgreSQL commit
ID cf925936ecc031355cd56fbd392ec3180517a110.
Kindly apply v8-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patch
first and then v8-0002-Preserve-database-OIDs-in-pg_upgrade.patch.
Thanks & Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v8-0002-Preserve-database-OIDs-in-pg_upgrade.patchapplication/octet-stream; name=v8-0002-Preserve-database-OIDs-in-pg_upgrade.patchDownload
From 07a5f08ab00cf88c2e21ec04b688f31625f720a4 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Mon, 17 Jan 2022 19:43:30 +0530
Subject: [PATCH v8 2/2] Preserve database OIDs in pg_upgrade
The patch aims to preserve the database OIDs across binary upgrade
Author: Shruthi KC, based on an earlier patch from Antonin Houska
Discussion: https://www.postgresql.org/message-id/7082.1562337694@localhost
---
doc/src/sgml/ref/create_database.sgml | 15 +++++++++-
src/backend/commands/dbcommands.c | 54 +++++++++++++++++++++++++++++++----
src/backend/parser/gram.y | 3 +-
src/bin/initdb/initdb.c | 24 ++++++++++------
src/bin/pg_dump/pg_dump.c | 16 +++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 ++
src/include/catalog/unused_oids | 5 ++++
12 files changed, 111 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..94d4cfb 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,18 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier with which the database gets created.
+ The OID range for user objects starts from 16384. CREATE DATABASE fails if a
+ database with specified oid already exists.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 509d1a3..878f366 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,27 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * Throw an error if the user specified oid < FirstNormalObjectId for
+ * creating the database. However, we need to allow creating database
+ * with oid < FirstNormalObjectId for below cases:
+ * 1. creating template0 with fixed oid during initdb
+ * 2. creating databases with oids from the old cluster during binary
+ * upgrade.
+ */
+ if ((dboid < FirstNormalObjectId) &&
+ (strcmp(dbname, "template0") != 0) &&
+ (!IsBinaryUpgrade))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +525,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
+ {
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database oid %u is already used by database %s",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory exists for database oid %u", dboid));
+ }
+ else
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/backend/parser/gram.y b/src/backend/parser/gram.y
index bb015a8..416eeee 100644
--- a/src/backend/parser/gram.y
+++ b/src/backend/parser/gram.y
@@ -711,7 +711,7 @@ static Node *makeRecursiveViewSelect(char *relname, List *aliases, Node *query);
NOT NOTHING NOTIFY NOTNULL NOWAIT NULL_P NULLIF
NULLS_P NUMERIC
- OBJECT_P OF OFF OFFSET OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
+ OBJECT_P OF OFF OFFSET OID OIDS OLD ON ONLY OPERATOR OPTION OPTIONS OR
ORDER ORDINALITY OTHERS OUT_P OUTER_P
OVER OVERLAPS OVERLAY OVERRIDING OWNED OWNER
@@ -10414,6 +10414,7 @@ createdb_opt_name:
| OWNER { $$ = pstrdup($1); }
| TABLESPACE { $$ = pstrdup($1); }
| TEMPLATE { $$ = pstrdup($1); }
+ | OID { $$ = pstrdup($1); }
;
/*
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index f964a00..f798457 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,15 +1839,14 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * Template0 oid is fixed during initdb to avoid oid conflict across versions
+ * during binary upgrade.
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1879,6 +1879,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index f251b75..332f966 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2835,8 +2835,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa082..69ef231 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d..1db8e3f 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253c..2f4deb3 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 71f1a5c..db3962c 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2598,7 +2598,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca..fe76c36 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Template0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index e55bc6f..314208b 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
v8-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patchapplication/octet-stream; name=v8-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patchDownload
From 4ab741fb3d234f5ba45fe3c3396bae2424e91df2 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Mon, 17 Jan 2022 19:38:12 +0530
Subject: [PATCH v8 1/2] pg_upgrade: Preserve relfilenodes and tablespace OIDs.
The fact that relfilenodes and tablespace OIDs change when a cluster
is upgraded can be confusing for people trying to troubleshoot
problems with pg_upgrade. It also isn't much fun if you're trying
to use 'rsync' or similar to update a standby after upgrading the
master. And if in the future we ever encrypt blocks, we might want
to use a salt or nonce that depends on the relfilenode and
tablespace OID. For all of these reasons, arrange for pg_dump to
preserve them as it already does for relation OIDs.
Database OIDs have a similar issue, but there are some tricky points
in that case that do not apply to these cases, so that problem is left
for another patch.
Shruthi KC, based on an earlier patch from Antonin Houska, reviewed
and with some adjustments by me.
---
src/backend/bootstrap/bootparse.y | 3 +-
src/backend/catalog/heap.c | 63 ++++++++++---
src/backend/catalog/index.c | 23 ++++-
src/backend/commands/tablespace.c | 17 +++-
src/backend/utils/adt/pg_upgrade_support.c | 44 +++++++++
src/bin/pg_dump/pg_dump.c | 104 ++++++++++++++-------
src/bin/pg_dump/pg_dumpall.c | 3 +
src/bin/pg_upgrade/info.c | 31 +-----
src/bin/pg_upgrade/pg_upgrade.c | 13 +--
src/bin/pg_upgrade/pg_upgrade.h | 10 +-
src/bin/pg_upgrade/relfilenode.c | 6 +-
src/include/catalog/binary_upgrade.h | 5 +
src/include/catalog/heap.h | 3 +-
src/include/catalog/pg_proc.dat | 16 ++++
.../spgist_name_ops/expected/spgist_name_ops.out | 12 ++-
15 files changed, 246 insertions(+), 107 deletions(-)
diff --git a/src/backend/bootstrap/bootparse.y b/src/backend/bootstrap/bootparse.y
index f1dd95c..142433f 100644
--- a/src/backend/bootstrap/bootparse.y
+++ b/src/backend/bootstrap/bootparse.y
@@ -212,7 +212,8 @@ Boot_CreateStmt:
mapped_relation,
true,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
elog(DEBUG4, "bootstrap relation created");
}
else
diff --git a/src/backend/catalog/heap.c b/src/backend/catalog/heap.c
index 5621549..7e99de8 100644
--- a/src/backend/catalog/heap.c
+++ b/src/backend/catalog/heap.c
@@ -91,7 +91,9 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
Oid binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
static void AddNewRelationTuple(Relation pg_class_desc,
Relation new_rel_desc,
@@ -285,8 +287,12 @@ SystemAttributeByName(const char *attname)
* heap_create - Create an uncataloged heap relation
*
* Note API change: the caller must now always provide the OID
- * to use for the relation. The relfilenode may (and, normally,
- * should) be left unspecified.
+ * to use for the relation. The relfilenode may be (and in
+ * the simplest cases is) left unspecified.
+ *
+ * create_storage indicates whether or not to create the storage.
+ * However, even if create_storage is true, no storage will be
+ * created if the relkind is one that doesn't have storage.
*
* rel->rd_rel is initialized by RelationBuildLocalRelation,
* and is mostly zeroes at return.
@@ -306,9 +312,9 @@ heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid)
+ MultiXactId *relminmxid,
+ bool create_storage)
{
- bool create_storage;
Relation rel;
/* The caller must have provided an OID for the relation. */
@@ -343,17 +349,17 @@ heap_create(const char *relname,
if (!RELKIND_HAS_TABLESPACE(relkind))
reltablespace = InvalidOid;
- /*
- * Decide whether to create storage. If caller passed a valid relfilenode,
- * storage is already created, so don't do it here. Also don't create it
- * for relkinds without physical storage.
- */
- if (!RELKIND_HAS_STORAGE(relkind) || OidIsValid(relfilenode))
+ /* Don't create storage for relkinds without physical storage. */
+ if (!RELKIND_HAS_STORAGE(relkind))
create_storage = false;
else
{
- create_storage = true;
- relfilenode = relid;
+ /*
+ * If relfilenode is unspecified by the caller then create storage
+ * with oid same as relid.
+ */
+ if (!OidIsValid(relfilenode))
+ relfilenode = relid;
}
/*
@@ -1121,6 +1127,9 @@ heap_create_with_catalog(const char *relname,
Oid existing_relid;
Oid old_type_oid;
Oid new_type_oid;
+
+ /* By default set to InvalidOid unless overridden by binary-upgrade */
+ Oid relfilenode = InvalidOid;
TransactionId relfrozenxid;
MultiXactId relminmxid;
@@ -1183,7 +1192,7 @@ heap_create_with_catalog(const char *relname,
*/
if (!OidIsValid(relid))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
/*
@@ -1200,6 +1209,14 @@ heap_create_with_catalog(const char *relname,
{
relid = binary_upgrade_next_toast_pg_class_oid;
binary_upgrade_next_toast_pg_class_oid = InvalidOid;
+
+ if (!OidIsValid(binary_upgrade_next_toast_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("toast relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_toast_pg_class_relfilenode;
+ binary_upgrade_next_toast_pg_class_relfilenode = InvalidOid;
}
}
else
@@ -1211,6 +1228,17 @@ heap_create_with_catalog(const char *relname,
relid = binary_upgrade_next_heap_pg_class_oid;
binary_upgrade_next_heap_pg_class_oid = InvalidOid;
+
+ if (RELKIND_HAS_STORAGE(relkind))
+ {
+ if (!OidIsValid(binary_upgrade_next_heap_pg_class_relfilenode))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("relfilenode value not set when in binary upgrade mode")));
+
+ relfilenode = binary_upgrade_next_heap_pg_class_relfilenode;
+ binary_upgrade_next_heap_pg_class_relfilenode = InvalidOid;
+ }
}
}
@@ -1250,12 +1278,16 @@ heap_create_with_catalog(const char *relname,
* Create the relcache entry (mostly dummy at this point) and the physical
* disk file. (If we fail further down, it's the smgr's responsibility to
* remove the disk file again.)
+ *
+ * NB: Note that passing create_storage = true is correct even for binary
+ * upgrade. The storage we create here will be replaced later, but we need
+ * to have something on disk in the meanwhile.
*/
new_rel_desc = heap_create(relname,
relnamespace,
reltablespace,
relid,
- InvalidOid,
+ relfilenode,
accessmtd,
tupdesc,
relkind,
@@ -1264,7 +1296,8 @@ heap_create_with_catalog(const char *relname,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ true);
Assert(relid == RelationGetRelid(new_rel_desc));
diff --git a/src/backend/catalog/index.c b/src/backend/catalog/index.c
index 4506cbc..e420381 100644
--- a/src/backend/catalog/index.c
+++ b/src/backend/catalog/index.c
@@ -87,6 +87,7 @@
/* Potentially set by pg_upgrade_support functions */
Oid binary_upgrade_next_index_pg_class_oid = InvalidOid;
+Oid binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
/*
* Pointer-free representation of variables used when reindexing system
@@ -733,6 +734,7 @@ index_create(Relation heapRelation,
char relkind;
TransactionId relfrozenxid;
MultiXactId relminmxid;
+ bool create_storage = !OidIsValid(relFileNode);
/* constraint flags can only be set when a constraint is requested */
Assert((constr_flags == 0) ||
@@ -904,7 +906,7 @@ index_create(Relation heapRelation,
*/
if (!OidIsValid(indexRelationId))
{
- /* Use binary-upgrade override for pg_class.oid/relfilenode? */
+ /* Use binary-upgrade override for pg_class.oid and relfilenode */
if (IsBinaryUpgrade)
{
if (!OidIsValid(binary_upgrade_next_index_pg_class_oid))
@@ -914,6 +916,22 @@ index_create(Relation heapRelation,
indexRelationId = binary_upgrade_next_index_pg_class_oid;
binary_upgrade_next_index_pg_class_oid = InvalidOid;
+
+ /* Overide the index relfilenode */
+ if ((relkind == RELKIND_INDEX) &&
+ (!OidIsValid(binary_upgrade_next_index_pg_class_relfilenode)))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("index relfilenode value not set when in binary upgrade mode")));
+ relFileNode = binary_upgrade_next_index_pg_class_relfilenode;
+ binary_upgrade_next_index_pg_class_relfilenode = InvalidOid;
+
+ /*
+ * Note that we want create_storage = true for binary upgrade.
+ * The storage we create here will be replaced later, but we need
+ * to have something on disk in the meanwhile.
+ */
+ Assert(create_storage);
}
else
{
@@ -940,7 +958,8 @@ index_create(Relation heapRelation,
mapped_relation,
allow_system_table_mods,
&relfrozenxid,
- &relminmxid);
+ &relminmxid,
+ create_storage);
Assert(relfrozenxid == InvalidTransactionId);
Assert(relminmxid == InvalidMultiXactId);
diff --git a/src/backend/commands/tablespace.c b/src/backend/commands/tablespace.c
index 7123b40..b2ccf5e 100644
--- a/src/backend/commands/tablespace.c
+++ b/src/backend/commands/tablespace.c
@@ -89,6 +89,7 @@ char *default_tablespace = NULL;
char *temp_tablespaces = NULL;
bool allow_in_place_tablespaces = false;
+Oid binary_upgrade_next_pg_tablespace_oid = InvalidOid;
static void create_tablespace_directories(const char *location,
const Oid tablespaceoid);
@@ -340,8 +341,20 @@ CreateTableSpace(CreateTableSpaceStmt *stmt)
MemSet(nulls, false, sizeof(nulls));
- tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
- Anum_pg_tablespace_oid);
+ if (IsBinaryUpgrade)
+ {
+ /* Use binary-upgrade override for tablespace oid */
+ if (!OidIsValid(binary_upgrade_next_pg_tablespace_oid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
+ errmsg("pg_tablespace OID value not set when in binary upgrade mode")));
+
+ tablespaceoid = binary_upgrade_next_pg_tablespace_oid;
+ binary_upgrade_next_pg_tablespace_oid = InvalidOid;
+ }
+ else
+ tablespaceoid = GetNewOidWithIndex(rel, TablespaceOidIndexId,
+ Anum_pg_tablespace_oid);
values[Anum_pg_tablespace_oid - 1] = ObjectIdGetDatum(tablespaceoid);
values[Anum_pg_tablespace_spcname - 1] =
DirectFunctionCall1(namein, CStringGetDatum(stmt->tablespacename));
diff --git a/src/backend/utils/adt/pg_upgrade_support.c b/src/backend/utils/adt/pg_upgrade_support.c
index c651f0e..67b9675e 100644
--- a/src/backend/utils/adt/pg_upgrade_support.c
+++ b/src/backend/utils/adt/pg_upgrade_support.c
@@ -30,6 +30,17 @@ do { \
} while (0)
Datum
+binary_upgrade_set_next_pg_tablespace_oid(PG_FUNCTION_ARGS)
+{
+ Oid tbspoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_pg_tablespace_oid = tbspoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_type_oid(PG_FUNCTION_ARGS)
{
Oid typoid = PG_GETARG_OID(0);
@@ -85,6 +96,17 @@ binary_upgrade_set_next_heap_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_heap_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_heap_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -96,6 +118,17 @@ binary_upgrade_set_next_index_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_index_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_index_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
{
Oid reloid = PG_GETARG_OID(0);
@@ -107,6 +140,17 @@ binary_upgrade_set_next_toast_pg_class_oid(PG_FUNCTION_ARGS)
}
Datum
+binary_upgrade_set_next_toast_relfilenode(PG_FUNCTION_ARGS)
+{
+ Oid nodeoid = PG_GETARG_OID(0);
+
+ CHECK_IS_BINARY_UPGRADE;
+ binary_upgrade_next_toast_pg_class_relfilenode = nodeoid;
+
+ PG_RETURN_VOID();
+}
+
+Datum
binary_upgrade_set_next_pg_enum_oid(PG_FUNCTION_ARGS)
{
Oid enumoid = PG_GETARG_OID(0);
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 92ab957..f251b75 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -4624,73 +4624,105 @@ binary_upgrade_set_pg_class_oids(Archive *fout,
PQExpBuffer upgrade_buffer, Oid pg_class_oid,
bool is_index)
{
+ PQExpBuffer upgrade_query = createPQExpBuffer();
+ PGresult *upgrade_res;
+ Oid relfilenode;
+ Oid toast_oid;
+ Oid toast_relfilenode;
+ char relkind;
+ Oid toast_index_oid;
+ Oid toast_index_relfilenode;
+
+ /*
+ * Preserve the OID and relfilenode of the table, table's index, table's
+ * toast table and toast table's index if any.
+ *
+ * One complexity is that the current table definition might not require
+ * the creation of a TOAST table, but the old database might have a TOAST
+ * table that was created earlier, before some wide columns were dropped.
+ * By setting the TOAST oid we force creation of the TOAST heap and index
+ * by the new backend, so we can copy the files during binary upgrade
+ * without worrying about this case.
+ */
+ appendPQExpBuffer(upgrade_query,
+ "SELECT c.relkind, c.relfilenode, c.reltoastrelid, ct.relfilenode AS toast_relfilenode, i.indexrelid, cti.relfilenode AS toast_index_relfilenode "
+ "FROM pg_catalog.pg_class c LEFT JOIN "
+ "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
+ "LEFT JOIN pg_catalog.pg_class ct ON (c.reltoastrelid = ct.oid) "
+ "LEFT JOIN pg_catalog.pg_class AS cti ON (i.indexrelid = cti.oid) "
+ "WHERE c.oid = '%u'::pg_catalog.oid;",
+ pg_class_oid);
+
+ upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
+
+ relkind = *PQgetvalue(upgrade_res, 0, PQfnumber(upgrade_res, "relkind"));
+
+ relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "relfilenode")));
+ toast_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "reltoastrelid")));
+ toast_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_relfilenode")));
+ toast_index_oid = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "indexrelid")));
+ toast_index_relfilenode = atooid(PQgetvalue(upgrade_res, 0,
+ PQfnumber(upgrade_res, "toast_index_relfilenode")));
+
appendPQExpBufferStr(upgrade_buffer,
- "\n-- For binary upgrade, must preserve pg_class oids\n");
+ "\n-- For binary upgrade, must preserve pg_class oids and relfilenodes\n");
if (!is_index)
{
- PQExpBuffer upgrade_query = createPQExpBuffer();
- PGresult *upgrade_res;
- Oid pg_class_reltoastrelid;
- char pg_class_relkind;
- Oid pg_index_indexrelid;
-
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_heap_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
/*
- * Preserve the OIDs of the table's toast table and index, if any.
- * Indexes cannot have toast tables, so we need not make this probe in
- * the index code path.
- *
- * One complexity is that the current table definition might not
- * require the creation of a TOAST table, but the old database might
- * have a TOAST table that was created earlier, before some wide
- * columns were dropped. By setting the TOAST oid we force creation
- * of the TOAST heap and index by the new backend, so we can copy the
- * files during binary upgrade without worrying about this case.
+ * Not every relation has storage. Also, in a pre-v12 database,
+ * partitioned tables have a relfilenode, which should not be preserved
+ * when upgrading.
*/
- appendPQExpBuffer(upgrade_query,
- "SELECT c.reltoastrelid, c.relkind, i.indexrelid "
- "FROM pg_catalog.pg_class c LEFT JOIN "
- "pg_catalog.pg_index i ON (c.reltoastrelid = i.indrelid AND i.indisvalid) "
- "WHERE c.oid = '%u'::pg_catalog.oid;",
- pg_class_oid);
-
- upgrade_res = ExecuteSqlQueryForSingleRow(fout, upgrade_query->data);
-
- pg_class_reltoastrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "reltoastrelid")));
- pg_class_relkind = *PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "relkind"));
- pg_index_indexrelid = atooid(PQgetvalue(upgrade_res, 0,
- PQfnumber(upgrade_res, "indexrelid")));
+ if (OidIsValid(relfilenode) && relkind != RELKIND_PARTITIONED_TABLE)
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_heap_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
/*
* In a pre-v12 database, partitioned tables might be marked as having
* toast tables, but we should ignore them if so.
*/
- if (OidIsValid(pg_class_reltoastrelid) &&
- pg_class_relkind != RELKIND_PARTITIONED_TABLE)
+ if (OidIsValid(toast_oid) &&
+ relkind != RELKIND_PARTITIONED_TABLE)
{
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_toast_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_class_reltoastrelid);
+ toast_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_toast_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_relfilenode);
/* every toast table has an index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
- pg_index_indexrelid);
+ toast_index_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ toast_index_relfilenode);
}
PQclear(upgrade_res);
destroyPQExpBuffer(upgrade_query);
}
else
+ {
+ /* Preserve the OID and relfilenode of the index */
appendPQExpBuffer(upgrade_buffer,
"SELECT pg_catalog.binary_upgrade_set_next_index_pg_class_oid('%u'::pg_catalog.oid);\n",
pg_class_oid);
+ appendPQExpBuffer(upgrade_buffer,
+ "SELECT pg_catalog.binary_upgrade_set_next_index_relfilenode('%u'::pg_catalog.oid);\n",
+ relfilenode);
+ }
appendPQExpBufferChar(upgrade_buffer, '\n');
}
diff --git a/src/bin/pg_dump/pg_dumpall.c b/src/bin/pg_dump/pg_dumpall.c
index 868f15e..5d5a243 100644
--- a/src/bin/pg_dump/pg_dumpall.c
+++ b/src/bin/pg_dump/pg_dumpall.c
@@ -1061,6 +1061,9 @@ dumpTablespaces(PGconn *conn)
/* needed for buildACLCommands() */
fspcname = pg_strdup(fmtId(spcname));
+ appendPQExpBufferStr(buf, "\n-- For binary upgrade, must preserve pg_tablespace oid\n");
+ appendPQExpBuffer(buf, "SELECT pg_catalog.binary_upgrade_set_next_pg_tablespace_oid('%u'::pg_catalog.oid);\n", spcoid);
+
appendPQExpBuffer(buf, "CREATE TABLESPACE %s", fspcname);
appendPQExpBuffer(buf, " OWNER %s", fmtId(spcowner));
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index 60e9cc5..f7fa082 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -193,14 +193,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->old_db_oid = old_db->db_oid;
map->new_db_oid = new_db->db_oid;
- /*
- * old_relfilenode might differ from pg_class.oid (and hence
- * new_relfilenode) because of CLUSTER, REINDEX, or VACUUM FULL.
- */
- map->old_relfilenode = old_rel->relfilenode;
-
- /* new_relfilenode will match old and new pg_class.oid */
- map->new_relfilenode = new_rel->relfilenode;
+ /* relfilenode is preserved across old and new cluster */
+ map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
map->nspname = old_rel->nspname;
@@ -272,27 +266,6 @@ report_unmatched_relation(const RelInfo *rel, const DbInfo *db, bool is_new_db)
reloid, db->db_name, reldesc);
}
-
-void
-print_maps(FileNameMap *maps, int n_maps, const char *db_name)
-{
- if (log_opts.verbose)
- {
- int mapnum;
-
- pg_log(PG_VERBOSE, "mappings for database \"%s\":\n", db_name);
-
- for (mapnum = 0; mapnum < n_maps; mapnum++)
- pg_log(PG_VERBOSE, "%s.%s: %u to %u\n",
- maps[mapnum].nspname, maps[mapnum].relname,
- maps[mapnum].old_relfilenode,
- maps[mapnum].new_relfilenode);
-
- pg_log(PG_VERBOSE, "\n\n");
- }
-}
-
-
/*
* get_db_and_rel_infos()
*
diff --git a/src/bin/pg_upgrade/pg_upgrade.c b/src/bin/pg_upgrade/pg_upgrade.c
index 68b336e..07defac 100644
--- a/src/bin/pg_upgrade/pg_upgrade.c
+++ b/src/bin/pg_upgrade/pg_upgrade.c
@@ -15,12 +15,13 @@
* oids are the same between old and new clusters. This is important
* because toast oids are stored as toast pointers in user tables.
*
- * While pg_class.oid and pg_class.relfilenode are initially the same
- * in a cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM
- * FULL. In the new cluster, pg_class.oid and pg_class.relfilenode will
- * be the same and will match the old pg_class.oid value. Because of
- * this, old/new pg_class.relfilenode values will not match if CLUSTER,
- * REINDEX, or VACUUM FULL have been performed in the old cluster.
+ * While pg_class.oid and pg_class.relfilenode are initially the same in a
+ * cluster, they can diverge due to CLUSTER, REINDEX, or VACUUM FULL. We
+ * control assignments of pg_class.relfilenode because we want the filenames
+ * to match between the old and new cluster.
+ *
+ * We control assignment of pg_tablespace.oid because we want the oid to match
+ * between the old and new cluster.
*
* We control all assignments of pg_type.oid because these oids are stored
* in user composite type values.
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index dd4a543..da6770d 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -147,13 +147,7 @@ typedef struct
const char *new_tablespace_suffix;
Oid old_db_oid;
Oid new_db_oid;
-
- /*
- * old/new relfilenodes might differ for pg_largeobject(_metadata) indexes
- * due to VACUUM FULL or REINDEX. Other relfilenodes are preserved.
- */
- Oid old_relfilenode;
- Oid new_relfilenode;
+ Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
char *relname;
@@ -379,8 +373,6 @@ FileNameMap *gen_db_file_maps(DbInfo *old_db,
DbInfo *new_db, int *nmaps, const char *old_pgdata,
const char *new_pgdata);
void get_db_and_rel_infos(ClusterInfo *cluster);
-void print_maps(FileNameMap *maps, int n,
- const char *db_name);
/* option.c */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 302ee2b..6e0253c 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -119,8 +119,6 @@ transfer_all_new_dbs(DbInfoArr *old_db_arr, DbInfoArr *new_db_arr,
new_pgdata);
if (n_maps)
{
- print_maps(mappings, n_maps, new_db->db_name);
-
transfer_single_new_db(mappings, n_maps, old_tablespace);
}
/* We allocate something even for n_maps == 0 */
@@ -196,14 +194,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
map->old_tablespace,
map->old_tablespace_suffix,
map->old_db_oid,
- map->old_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
map->new_db_oid,
- map->new_relfilenode,
+ map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/include/catalog/binary_upgrade.h b/src/include/catalog/binary_upgrade.h
index cc16a26..0b6944b 100644
--- a/src/include/catalog/binary_upgrade.h
+++ b/src/include/catalog/binary_upgrade.h
@@ -14,14 +14,19 @@
#ifndef BINARY_UPGRADE_H
#define BINARY_UPGRADE_H
+extern PGDLLIMPORT Oid binary_upgrade_next_pg_tablespace_oid;
+
extern PGDLLIMPORT Oid binary_upgrade_next_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_mrng_array_pg_type_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_heap_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_index_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_oid;
+extern PGDLLIMPORT Oid binary_upgrade_next_toast_pg_class_relfilenode;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_enum_oid;
extern PGDLLIMPORT Oid binary_upgrade_next_pg_authid_oid;
diff --git a/src/include/catalog/heap.h b/src/include/catalog/heap.h
index 3b96006..c4757bd 100644
--- a/src/include/catalog/heap.h
+++ b/src/include/catalog/heap.h
@@ -59,7 +59,8 @@ extern Relation heap_create(const char *relname,
bool mapped_relation,
bool allow_system_table_mods,
TransactionId *relfrozenxid,
- MultiXactId *relminmxid);
+ MultiXactId *relminmxid,
+ bool create_storage);
extern Oid heap_create_with_catalog(const char *relname,
Oid relnamespace,
diff --git a/src/include/catalog/pg_proc.dat b/src/include/catalog/pg_proc.dat
index d6bf1f3..b6f689e 100644
--- a/src/include/catalog/pg_proc.dat
+++ b/src/include/catalog/pg_proc.dat
@@ -11040,6 +11040,22 @@
proname => 'binary_upgrade_set_missing_value', provolatile => 'v',
proparallel => 'u', prorettype => 'void', proargtypes => 'oid text text',
prosrc => 'binary_upgrade_set_missing_value' },
+{ oid => '4545', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_heap_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_heap_relfilenode' },
+{ oid => '4546', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_index_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_index_relfilenode' },
+{ oid => '4547', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_toast_relfilenode', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_toast_relfilenode' },
+{ oid => '4548', descr => 'for use by pg_upgrade',
+ proname => 'binary_upgrade_set_next_pg_tablespace_oid', provolatile => 'v',
+ proparallel => 'u', prorettype => 'void', proargtypes => 'oid',
+ prosrc => 'binary_upgrade_set_next_pg_tablespace_oid' },
# conversion functions
{ oid => '4302',
diff --git a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
index ac0ddce..1ee65ed 100644
--- a/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
+++ b/src/test/modules/spgist_name_ops/expected/spgist_name_ops.out
@@ -52,14 +52,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
-- Verify clean failure when INCLUDE'd columns result in overlength tuple
-- The error message details are platform-dependent, so show only SQLSTATE
@@ -97,14 +101,18 @@ select * from t
------------------------------------------------------+----+------------------------------------------------------
binary_upgrade_set_next_array_pg_type_oid | | binary_upgrade_set_next_array_pg_type_oid
binary_upgrade_set_next_heap_pg_class_oid | | binary_upgrade_set_next_heap_pg_class_oid
+ binary_upgrade_set_next_heap_relfilenode | 1 | binary_upgrade_set_next_heap_relfilenode
binary_upgrade_set_next_index_pg_class_oid | 1 | binary_upgrade_set_next_index_pg_class_oid
+ binary_upgrade_set_next_index_relfilenode | | binary_upgrade_set_next_index_relfilenode
binary_upgrade_set_next_multirange_array_pg_type_oid | 1 | binary_upgrade_set_next_multirange_array_pg_type_oid
binary_upgrade_set_next_multirange_pg_type_oid | 1 | binary_upgrade_set_next_multirange_pg_type_oid
binary_upgrade_set_next_pg_authid_oid | | binary_upgrade_set_next_pg_authid_oid
binary_upgrade_set_next_pg_enum_oid | | binary_upgrade_set_next_pg_enum_oid
+ binary_upgrade_set_next_pg_tablespace_oid | | binary_upgrade_set_next_pg_tablespace_oid
binary_upgrade_set_next_pg_type_oid | | binary_upgrade_set_next_pg_type_oid
binary_upgrade_set_next_toast_pg_class_oid | 1 | binary_upgrade_set_next_toast_pg_class_oid
-(9 rows)
+ binary_upgrade_set_next_toast_relfilenode | | binary_upgrade_set_next_toast_relfilenode
+(13 rows)
\set VERBOSITY sqlstate
insert into t values(repeat('xyzzy', 12), 42, repeat('xyzzy', 4000));
--
1.8.3.1
On Tue, Dec 14, 2021 at 1:21 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks, Robert for the updated version. I reviewed the changes and it
looks fine.
I also tested the patch. The patch works as expected.
Thanks.
- I adjusted the function header comment for heap_create. Your
proposed comment seemed like it was pretty detailed but not 100%
correct. It also made one of the lines kind of long because you didn't
wrap the text in the surrounding style. I decided to make it simpler
and shorter instead of longer still and 100% correct.The comment update looks fine. However, I still feel it would be good to
mention on which (rare) circumstance a valid relfilenode can get passed.
In general, I think it's the job of a function parameter comment to
describe what the parameter does, not how the callers actually use it.
One problem with describing the latter is that, if someone later adds
another caller, there is a pretty good chance that they won't notice
that the comment needs to be changed. More fundamentally, the
parameter function comments should be like an instruction manual for
how to use the function. If you are trying to figure out how to use
this function, it is not helpful to know that "most callers like to
pass false" for this parameter. What you need to know is what value
your new call site should pass, and knowing what "most callers" do or
that something is "rare" doesn't really help. If we want to make this
comment more detailed, we should approach it from the point of view of
explaining how it ought to be set.
I've committed the v8-0001 patch you attached. I'll write separately
about v8-0002.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Mon, Jan 17, 2022 at 9:57 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have rebased and generated the patches on top of PostgreSQL commit
ID cf925936ecc031355cd56fbd392ec3180517a110.
Kindly apply v8-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patch
first and then v8-0002-Preserve-database-OIDs-in-pg_upgrade.patch.
OK, so looking over 0002, I noticed a few things:
1. datlastsysoid isn't being used for anything any more. That's not a
defect in your patch, but I've separately proposed to remove it.
2. I realized that the whole idea here depends on not having initdb
create more than one database without a fixed OID. The patch solves
that by nailing down the OID of template0, which is a sufficient
solution. However, I think nailing down the (initial) OID of postgres
as well would be a good idea, just in case somebody in the future
decides to add another system-created database.
3. The changes to gram.y don't do anything. Sure, you've added a new
"OID" token, but nothing generates that token, so it has no effect.
The reason the syntax works is that createdb_opt_name accepts "IDENT",
which means any string that's not in the keyword list (see kwlist.h).
But that's there already, so you don't need to do anything in this
file.
4. I felt that the documentation and comments could be somewhat improved.
Here's an updated version in which I've reverted the changes to gram.y
and tried to improve the comments and documentation. Could you have a
look at implementing (2) above?
--
Robert Haas
EDB: http://www.enterprisedb.com
Attachments:
v9-0001-pg_upgrade-perserve-database-OID-patch-from-shrut.patchapplication/octet-stream; name=v9-0001-pg_upgrade-perserve-database-OID-patch-from-shrut.patchDownload
From bf0cd45f726c20b61e306ee7262d34541182106a Mon Sep 17 00:00:00 2001
From: Robert Haas <rhaas@postgresql.org>
Date: Mon, 17 Jan 2022 16:02:08 -0500
Subject: [PATCH v9] pg_upgrade perserve database OID patch from shruthi
w/changes by me.
---
doc/src/sgml/ref/create_database.sgml | 18 +++++++-
src/backend/commands/dbcommands.c | 59 ++++++++++++++++++++++++---
src/bin/initdb/initdb.c | 33 +++++++++++----
src/bin/pg_dump/pg_dump.c | 16 +++++++-
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++--
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +-
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 3 ++
src/include/catalog/unused_oids | 5 +++
11 files changed, 126 insertions(+), 28 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb4068ec..f22e28dc81 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,21 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier to be used for the new database. If this
+ parameter is not specified, the database will choose a suitable
+ OID automatically. This parameter is primarily intended for internal
+ use by <application>pg_upgrade</application>, and only
+ <application>pg_upgrade</application> can specify a value less
+ than 16384.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 509d1a3e92..668d84a9e2 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,32 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * We don't normally permit new databases to be created with
+ * system-assigned OIDs. pg_upgrade tries to preserve database
+ * OIDs, and we don't want any OIDs that are used in this database
+ * cluster to be OIDs that might be used for some other cluster
+ * in a future version of PostgreSQL. We assume all such OIDs
+ * will be from the system-managed OID range.
+ *
+ * As an exception, however, we permit any OID to be assigned
+ * when allow_system_table_mods=on (so that initdb can assign a
+ * system OID to template0) or when performing a binary upgrade
+ * (so that pg_upgrade can preserve whatever OIDs it finds in the
+ * source cluster).
+ */
+ if (dboid < FirstNormalObjectId &&
+ !allowSystemTableMods && !IsBinaryUpgrade)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +530,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database oid %u is already used by database %s",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory exists for database oid %u", dboid));
+ }
+ else
+ {
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index f964a000f8..23146a5fb5 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,15 +1839,23 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * pg_upgrade tries to preserve database OIDs across upgrades. It's smart
+ * enough to drop and recreate a conflicting database with the same name,
+ * but if the same OID were used for one system-created database in the
+ * old cluster and a different system-created database in the new cluster,
+ * it would fail. To avoid that, assign a fixed OID to template0 rather
+ * than letting the server choose one.
+ *
+ * (Note that, while the user could have dropped and recreated these
+ * objects in the old cluster, the problem scenario only exists if the OID
+ * that is in use in the old cluster is also used in th new cluster - and
+ * the new cluster should be the result of a fresh initdb.)
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1879,6 +1888,14 @@ make_postgres(FILE *cmdfd)
static const char *const postgres_setup[] = {
"CREATE DATABASE postgres;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 7c2f1d3044..cd14d1f840 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2838,8 +2838,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70a7c..384834a4cc 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa0820d6..69ef23119f 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d0f8..1db8e3f0fb 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253cc3e..2f4deb3416 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 6bd33a06cb..502b5c5751 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2633,7 +2633,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca5a0..fe76c36daf 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,9 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OID 4 is reserved for Template0 database */
+#define Template0ObjectId 4
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index e55bc6fa3c..314208b79e 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
2.24.3 (Apple Git-128)
On Tue, Jan 18, 2022 at 12:35 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Tue, Dec 14, 2021 at 1:21 PM Shruthi Gowda <gowdashru@gmail.com> wrote:
Thanks, Robert for the updated version. I reviewed the changes and it
looks fine.
I also tested the patch. The patch works as expected.Thanks.
- I adjusted the function header comment for heap_create. Your
proposed comment seemed like it was pretty detailed but not 100%
correct. It also made one of the lines kind of long because you didn't
wrap the text in the surrounding style. I decided to make it simpler
and shorter instead of longer still and 100% correct.The comment update looks fine. However, I still feel it would be good to
mention on which (rare) circumstance a valid relfilenode can get passed.In general, I think it's the job of a function parameter comment to
describe what the parameter does, not how the callers actually use it.
One problem with describing the latter is that, if someone later adds
another caller, there is a pretty good chance that they won't notice
that the comment needs to be changed. More fundamentally, the
parameter function comments should be like an instruction manual for
how to use the function. If you are trying to figure out how to use
this function, it is not helpful to know that "most callers like to
pass false" for this parameter. What you need to know is what value
your new call site should pass, and knowing what "most callers" do or
that something is "rare" doesn't really help. If we want to make this
comment more detailed, we should approach it from the point of view of
explaining how it ought to be set.
It's clear now. Thanks for clarifying.
I've committed the v8-0001 patch you attached. I'll write separately
about v8-0002.
Sure. Thank you.
On Tue, Jan 18, 2022 at 2:34 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Jan 17, 2022 at 9:57 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
I have rebased and generated the patches on top of PostgreSQL commit
ID cf925936ecc031355cd56fbd392ec3180517a110.
Kindly apply v8-0001-pg_upgrade-Preserve-relfilenodes-and-tablespace-O.patch
first and then v8-0002-Preserve-database-OIDs-in-pg_upgrade.patch.OK, so looking over 0002, I noticed a few things:
1. datlastsysoid isn't being used for anything any more. That's not a
defect in your patch, but I've separately proposed to remove it.
okay
2. I realized that the whole idea here depends on not having initdb
create more than one database without a fixed OID. The patch solves
that by nailing down the OID of template0, which is a sufficient
solution. However, I think nailing down the (initial) OID of postgres
as well would be a good idea, just in case somebody in the future
decides to add another system-created database.
I agree with your thought. In my latest patch, postgres db gets
created with a fixed OID.
I have chosen an arbitrary number 16000 as postgres OID from the
unpinned object OID range1200 - 16383.
3. The changes to gram.y don't do anything. Sure, you've added a new
"OID" token, but nothing generates that token, so it has no effect.
The reason the syntax works is that createdb_opt_name accepts "IDENT",
which means any string that's not in the keyword list (see kwlist.h).
But that's there already, so you don't need to do anything in this
file.
okay
4. I felt that the documentation and comments could be somewhat improved.
The documentation and comment updates are more accurate with the
required details. Thanks.
Here's an updated version in which I've reverted the changes to gram.y
and tried to improve the comments and documentation. Could you have a
look at implementing (2) above?
Attached is the patch that implements comment (2).
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v10-0001-pg_upgrade-perserve-database-OID-patch.patchapplication/octet-stream; name=v10-0001-pg_upgrade-perserve-database-OID-patch.patchDownload
From 28cd5f7a5ea5a1aa3f75f767333b7f95a0d6603c Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Thu, 20 Jan 2022 17:23:32 +0530
Subject: [PATCH v10] pg_upgrade perserve database OID patch
---
doc/src/sgml/ref/create_database.sgml | 18 ++++++++++-
src/backend/commands/dbcommands.c | 59 ++++++++++++++++++++++++++++++++---
src/bin/initdb/initdb.c | 40 ++++++++++++++++++------
src/bin/pg_dump/pg_dump.c | 16 ++++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 4 +++
src/include/catalog/unused_oids | 5 +++
11 files changed, 133 insertions(+), 29 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..f22e28d 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,21 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier to be used for the new database. If this
+ parameter is not specified, the database will choose a suitable
+ OID automatically. This parameter is primarily intended for internal
+ use by <application>pg_upgrade</application>, and only
+ <application>pg_upgrade</application> can specify a value less
+ than 16384.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index 509d1a3..cc8ebc4 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -117,7 +117,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -217,6 +217,32 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * We don't normally permit new databases to be created with
+ * system-assigned OIDs. pg_upgrade tries to preserve database
+ * OIDs, and we don't want any OIDs that are used in this database
+ * cluster to be OIDs that might be used for some other cluster in
+ * a future version of PostgreSQL. We assume all such OIDs will be
+ * from the system-managed OID range.
+ *
+ * As an exception, however, we permit any OID to be assigned when
+ * allow_system_table_mods=on (so that initdb can assign system
+ * OIDs to template0 and postgres) or when performing a binary
+ * upgrade (so that pg_upgrade can preserve whatever OIDs it finds
+ * in the source cluster).
+ */
+ if (dboid < FirstNormalObjectId &&
+ !allowSystemTableMods && !IsBinaryUpgrade)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("Invalid value for option \"%s\"", defel->defname),
+ errhint("The specified OID %u is less than the minimum OID for user objects %u.",
+ dboid, FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -504,11 +530,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database oid %u is already used by database %s",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory exists for database oid %u", dboid));
+ }
+ else
+ {
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index f964a00..6842741 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,15 +1839,23 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
- static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
- /*
- * We use the OID of template0 to determine datlastsysoid
- */
- "UPDATE pg_database SET datlastsysoid = "
- " (SELECT oid FROM pg_database "
- " WHERE datname = 'template0');\n\n",
+ /*
+ * pg_upgrade tries to preserve database OIDs across upgrades. It's smart
+ * enough to drop and recreate a conflicting database with the same name,
+ * but if the same OID were used for one system-created database in the
+ * old cluster and a different system-created database in the new cluster,
+ * it would fail. To avoid that, assign a fixed OID to template0 and
+ * postgres rather than letting the server choose one.
+ *
+ * (Note that, while the user could have dropped and recreated these
+ * objects in the old cluster, the problem scenario only exists if the OID
+ * that is in use in the old cluster is also used in th new cluster - and
+ * the new cluster should be the result of a fresh initdb.)
+ */
+ static const char *const template0_setup[] = {
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1876,9 +1885,22 @@ static void
make_postgres(FILE *cmdfd)
{
const char *const *line;
+
+ /*
+ * Assign a fixed OID to postgres. See comments in make_template0() for
+ * more details on why a fixed OID is assigned.
+ */
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres;\n\n",
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) ";\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+
+ /*
+ * We use the OID of postgres to determine datlastsysoid
+ */
+ "UPDATE pg_database SET datlastsysoid = "
+ " (SELECT oid FROM pg_database "
+ " WHERE datname = 'postgres');\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 7c2f1d3..cd14d1f 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2838,8 +2838,20 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa082..69ef231 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d..1db8e3f 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253c..2f4deb3 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 6bd33a0..502b5c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2633,7 +2633,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca..a9c25fc 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,10 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OIDs of Template0 and Postgres database are fixed */
+#define Template0ObjectId 4
+#define PostgresObjectId 16000
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index e55bc6f..314208b 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
On Thu, Jan 20, 2022 at 7:09 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Here's an updated version in which I've reverted the changes to gram.y
and tried to improve the comments and documentation. Could you have a
look at implementing (2) above?Attached is the patch that implements comment (2).
This probably needs minor rebasing on account of the fact that I just
pushed the patch to remove datlastsysoid. I intended to do that before
you posted a new version to save you the trouble, but I was too slow
(or you were too fast, however you want to look at it).
+ errmsg("Invalid value for option \"%s\"", defel->defname),
Per the "error message style" section of the documentation, primary
error messages neither begin with a capital letter nor end with a
period, while errdetail() messages are complete sentences and thus
both begin with a capital letter and end with a period. But what I
think you should really do here is get rid of the error detail and
convey all the information in a primary error message. e.g. "OID %u is
a system OID", or maybe better, "OIDs less than %u are reserved for
system objects".
+ errmsg("database oid %u is already used by database %s",
+ errmsg("data directory exists for database oid %u", dboid));Usually we write "OID" rather than "oid" in error messages. I think
maybe it would be best to change the text slightly too. I suggest:
database OID %u is already in use by database \"%s\"
data directory already exists for database with OID %u
+ * it would fail. To avoid that, assign a fixed OID to template0 and
+ * postgres rather than letting the server choose one.a fixed OID -> fixed OIDs
one -> them
Or maybe put this comment back the way I had it and just talk about
postgres, and then change the comment in make_postgres to say "Assign
a fixed OID to postgres, for the same reasons as template0."
+ /*
+ * Make sure that binary upgrade propagate the database OID to the new
+ * cluster
+ */This comment doesn't really seem necessary. It's sort of self-explanatory.
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;Don't you need to do this for PostgresObjectId also?
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Jan 20, 2022 at 7:57 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Jan 20, 2022 at 7:09 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Here's an updated version in which I've reverted the changes to gram.y
and tried to improve the comments and documentation. Could you have a
look at implementing (2) above?Attached is the patch that implements comment (2).
This probably needs minor rebasing on account of the fact that I just
pushed the patch to remove datlastsysoid. I intended to do that before
you posted a new version to save you the trouble, but I was too slow
(or you were too fast, however you want to look at it).
I have rebased the patch. Kindly have a look at it.
+ errmsg("Invalid value for option \"%s\"", defel->defname),
Per the "error message style" section of the documentation, primary
error messages neither begin with a capital letter nor end with a
period, while errdetail() messages are complete sentences and thus
both begin with a capital letter and end with a period. But what I
think you should really do here is get rid of the error detail and
convey all the information in a primary error message. e.g. "OID %u is
a system OID", or maybe better, "OIDs less than %u are reserved for
system objects".
Fixed
+ errmsg("database oid %u is already used by database %s", + errmsg("data directory exists for database oid %u", dboid));Usually we write "OID" rather than "oid" in error messages. I think
maybe it would be best to change the text slightly too. I suggest:database OID %u is already in use by database \"%s\"
data directory already exists for database with OID %u
The second error message will be reported when the data directory with
the given OID exists in the data path but the corresponding DB does
not exist. This could happen only if the user creates directories in
the data folder which is indeed not an invalid usage. I have updated
the error message to "data directory with the specified OID %u already
exists" because the error message you recommended gives a slightly
different meaning.
+ * it would fail. To avoid that, assign a fixed OID to template0 and + * postgres rather than letting the server choose one.a fixed OID -> fixed OIDs
one -> themOr maybe put this comment back the way I had it and just talk about
postgres, and then change the comment in make_postgres to say "Assign
a fixed OID to postgres, for the same reasons as template0."
Fixed
+ /* + * Make sure that binary upgrade propagate the database OID to the new + * cluster + */This comment doesn't really seem necessary. It's sort of self-explanatory.
Removed
+# Push the OID that is reserved for template0 database. +my $Template0ObjectId = + Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId'); +push @{$oids}, $Template0ObjectId;Don't you need to do this for PostgresObjectId also?
It is not required for PostgresObjectId. The unused_oids script
provides a list of unused oids in the manually-assignable OIDs range
(1-9999).
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v11-0001-pg_upgrade-perserve-database-OID-patch.patchapplication/octet-stream; name=v11-0001-pg_upgrade-perserve-database-OID-patch.patchDownload
From 808e4d43d7e282fa98eba7d7084a0927b5cafc93 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Thu, 20 Jan 2022 21:15:46 +0530
Subject: [PATCH v11] pg_upgrade perserve database OID patch
---
doc/src/sgml/ref/create_database.sgml | 18 ++++++++++-
src/backend/commands/dbcommands.c | 57 ++++++++++++++++++++++++++++++++---
src/bin/initdb/initdb.c | 22 ++++++++++++--
src/bin/pg_dump/pg_dump.c | 12 ++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 4 +++
src/include/catalog/unused_oids | 5 +++
11 files changed, 116 insertions(+), 22 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..f22e28d 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,21 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier to be used for the new database. If this
+ parameter is not specified, the database will choose a suitable
+ OID automatically. This parameter is primarily intended for internal
+ use by <application>pg_upgrade</application>, and only
+ <application>pg_upgrade</application> can specify a value less
+ than 16384.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index da83455..02529e5 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -115,7 +115,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -215,6 +215,30 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * We don't normally permit new databases to be created with
+ * system-assigned OIDs. pg_upgrade tries to preserve database
+ * OIDs, and we don't want any OIDs that are used in this database
+ * cluster to be OIDs that might be used for some other cluster in
+ * a future version of PostgreSQL. We assume all such OIDs will be
+ * from the system-managed OID range.
+ *
+ * As an exception, however, we permit any OID to be assigned when
+ * allow_system_table_mods=on (so that initdb can assign system
+ * OIDs to template0 and postgres) or when performing a binary
+ * upgrade (so that pg_upgrade can preserve whatever OIDs it finds
+ * in the source cluster).
+ */
+ if (dboid < FirstNormalObjectId &&
+ !allowSystemTableMods && !IsBinaryUpgrade)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("OIDs less than %u are reserved for system objects", FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -502,11 +526,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database OID %u is already in use by database \"%s\"",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory with the specified OID %u already exists", dboid));
+ }
+ else
+ {
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 0a2dba7..7e03b51 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,8 +1839,23 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
+
+ /*
+ * pg_upgrade tries to preserve database OIDs across upgrades. It's smart
+ * enough to drop and recreate a conflicting database with the same name,
+ * but if the same OID were used for one system-created database in the
+ * old cluster and a different system-created database in the new cluster,
+ * it would fail. To avoid that, assign a fixed OID to template0 rather
+ * than letting the server choose one.
+ *
+ * (Note that, while the user could have dropped and recreated these
+ * objects in the old cluster, the problem scenario only exists if the OID
+ * that is in use in the old cluster is also used in th new cluster - and
+ * the new cluster should be the result of a fresh initdb.)
+ */
static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1869,8 +1885,10 @@ static void
make_postgres(FILE *cmdfd)
{
const char *const *line;
+
+ /* Assign a fixed OID to postgres, for the same reasons as template0 */
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres;\n\n",
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) ";\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 7c2f1d3..d2847c7 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2838,8 +2838,16 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..384834a 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa082..69ef231 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d..1db8e3f 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253c..2f4deb3 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 6bd33a0..502b5c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2633,7 +2633,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca..a9c25fc 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,10 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OIDs of Template0 and Postgres database are fixed */
+#define Template0ObjectId 4
+#define PostgresObjectId 16000
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index e55bc6f..314208b 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,11 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the OID that is reserved for template0 database.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
On Thu, Jan 20, 2022 at 11:03 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
It is not required for PostgresObjectId. The unused_oids script
provides a list of unused oids in the manually-assignable OIDs range
(1-9999).
Well, so ... why are we not treating the OIDs for these two databases
the same? If there's a range from which we can assign OIDs without
risk of duplication and without needing to update this script, perhaps
we ought to assign both of them from that range and leave the script
alone.
+ * that is in use in the old cluster is also used in th new cluster - and
th -> the.
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
Insert "and" before "relfilenode".
I think this is in pretty good shape now.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Fri, Jan 21, 2022 at 1:08 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Jan 20, 2022 at 11:03 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
It is not required for PostgresObjectId. The unused_oids script
provides a list of unused oids in the manually-assignable OIDs range
(1-9999).Well, so ... why are we not treating the OIDs for these two databases
the same? If there's a range from which we can assign OIDs without
risk of duplication and without needing to update this script, perhaps
we ought to assign both of them from that range and leave the script
alone.
From what I see in the code, template0 and postgres are the last
things that get created in initdb phase. The system OIDs that get
assigned to these DBs vary from release to release. At present, the
system assigned OIDs of template0 and postgres are 13679 and 13680
respectively. I feel it would be safe to assign 16000 and 16001 for
template0 and postgres respectively from the unpinned object OID range
12000 - 16383. In the future, even if the initdb unpinned objects
reach the range of 16000 issues can only arise if initdb() creates
another system-created database for which the system assigns these
reserved OIDs (16000, 16001).
+ * that is in use in the old cluster is also used in th new cluster - and
th -> the.
Fixed
+preserves the DB, tablespace, relfilenode OIDs so TOAST and other references
Insert "and" before "relfilenode".
Fixed
Attached is the latest patch for review.
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v12-0001-pg_upgrade-perserve-database-OID-patch.patchapplication/octet-stream; name=v12-0001-pg_upgrade-perserve-database-OID-patch.patchDownload
From 0337ef18dd11a598b0194ba946e1b2dcdd903a18 Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Fri, 21 Jan 2022 18:24:57 +0530
Subject: [PATCH v12] pg_upgrade perserve database OID patch
---
doc/src/sgml/ref/create_database.sgml | 18 ++++++++++-
src/backend/commands/dbcommands.c | 57 ++++++++++++++++++++++++++++++++---
src/bin/initdb/initdb.c | 22 ++++++++++++--
src/bin/pg_dump/pg_dump.c | 12 ++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 4 +++
10 files changed, 111 insertions(+), 22 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..f22e28d 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,21 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier to be used for the new database. If this
+ parameter is not specified, the database will choose a suitable
+ OID automatically. This parameter is primarily intended for internal
+ use by <application>pg_upgrade</application>, and only
+ <application>pg_upgrade</application> can specify a value less
+ than 16384.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index da83455..02529e5 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -115,7 +115,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -215,6 +215,30 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * We don't normally permit new databases to be created with
+ * system-assigned OIDs. pg_upgrade tries to preserve database
+ * OIDs, and we don't want any OIDs that are used in this database
+ * cluster to be OIDs that might be used for some other cluster in
+ * a future version of PostgreSQL. We assume all such OIDs will be
+ * from the system-managed OID range.
+ *
+ * As an exception, however, we permit any OID to be assigned when
+ * allow_system_table_mods=on (so that initdb can assign system
+ * OIDs to template0 and postgres) or when performing a binary
+ * upgrade (so that pg_upgrade can preserve whatever OIDs it finds
+ * in the source cluster).
+ */
+ if (dboid < FirstNormalObjectId &&
+ !allowSystemTableMods && !IsBinaryUpgrade)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("OIDs less than %u are reserved for system objects", FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -502,11 +526,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database OID %u is already in use by database \"%s\"",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory with the specified OID %u already exists", dboid));
+ }
+ else
+ {
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 0a2dba7..d78e8e6 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,8 +1839,23 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
+
+ /*
+ * pg_upgrade tries to preserve database OIDs across upgrades. It's smart
+ * enough to drop and recreate a conflicting database with the same name,
+ * but if the same OID were used for one system-created database in the
+ * old cluster and a different system-created database in the new cluster,
+ * it would fail. To avoid that, assign a fixed OID to template0 rather
+ * than letting the server choose one.
+ *
+ * (Note that, while the user could have dropped and recreated these
+ * objects in the old cluster, the problem scenario only exists if the OID
+ * that is in use in the old cluster is also used in the new cluster - and
+ * the new cluster should be the result of a fresh initdb.)
+ */
static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1869,8 +1885,10 @@ static void
make_postgres(FILE *cmdfd)
{
const char *const *line;
+
+ /* Assign a fixed OID to postgres, for the same reasons as template0 */
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres;\n\n",
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) ";\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 7c2f1d3..d2847c7 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2838,8 +2838,16 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..358e933 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, and relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa082..69ef231 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d..1db8e3f 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253c..2f4deb3 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 6bd33a0..502b5c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2633,7 +2633,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca..545a84d 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,10 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OIDs of Template0 and Postgres database are fixed */
+#define Template0ObjectId 16000
+#define PostgresObjectId 16001
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
--
1.8.3.1
On Fri, Jan 21, 2022 at 8:40 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
From what I see in the code, template0 and postgres are the last
things that get created in initdb phase. The system OIDs that get
assigned to these DBs vary from release to release. At present, the
system assigned OIDs of template0 and postgres are 13679 and 13680
respectively. I feel it would be safe to assign 16000 and 16001 for
template0 and postgres respectively from the unpinned object OID range
12000 - 16383. In the future, even if the initdb unpinned objects
reach the range of 16000 issues can only arise if initdb() creates
another system-created database for which the system assigns these
reserved OIDs (16000, 16001).
It doesn't seem safe to me to rely on that. We don't know what could
happen in the future if the number of built-in objects increases.
Looking at the lengthy comment on this topic in transam.h, I see that
there are three ranges:
1-9999 manually assigned OIDs
10000-11999 OIDs assigned by genbki.pl
12000-16384 OIDs assigned to unpinned objects post-bootstrap
It seems to me that what this comment is saying is that OIDs in the
second and third categories are doled out by counters. Therefore, we
can't know which of those OIDs will get used, or how many of them will
get used, or which objects will get which OIDs. Therefore, I think we
should go back to the approach that you were using for template0 and
handle both that database and postgres using that method. That is,
assign an OID manually, and make sure unused_oids knows that it should
be counted as already used.
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
It seems to me that what this comment is saying is that OIDs in the
second and third categories are doled out by counters. Therefore, we
can't know which of those OIDs will get used, or how many of them will
get used, or which objects will get which OIDs. Therefore, I think we
should go back to the approach that you were using for template0 and
handle both that database and postgres using that method. That is,
assign an OID manually, and make sure unused_oids knows that it should
be counted as already used.
Indeed. If you're going to manually assign OIDs to these databases,
do it honestly, and put them into the range intended for that purpose.
Trying to take short-cuts is just going to cause trouble down the road.
regards, tom lane
On Sat, Jan 22, 2022 at 12:27 AM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Robert Haas <robertmhaas@gmail.com> writes:
It seems to me that what this comment is saying is that OIDs in the
second and third categories are doled out by counters. Therefore, we
can't know which of those OIDs will get used, or how many of them will
get used, or which objects will get which OIDs. Therefore, I think we
should go back to the approach that you were using for template0 and
handle both that database and postgres using that method. That is,
assign an OID manually, and make sure unused_oids knows that it should
be counted as already used.Indeed. If you're going to manually assign OIDs to these databases,
do it honestly, and put them into the range intended for that purpose.
Trying to take short-cuts is just going to cause trouble down the road.
Understood. I will rework the patch accordingly. Thanks
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
On Sat, Jan 22, 2022 at 12:17 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Fri, Jan 21, 2022 at 8:40 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
From what I see in the code, template0 and postgres are the last
things that get created in initdb phase. The system OIDs that get
assigned to these DBs vary from release to release. At present, the
system assigned OIDs of template0 and postgres are 13679 and 13680
respectively. I feel it would be safe to assign 16000 and 16001 for
template0 and postgres respectively from the unpinned object OID range
12000 - 16383. In the future, even if the initdb unpinned objects
reach the range of 16000 issues can only arise if initdb() creates
another system-created database for which the system assigns these
reserved OIDs (16000, 16001).It doesn't seem safe to me to rely on that. We don't know what could
happen in the future if the number of built-in objects increases.
Looking at the lengthy comment on this topic in transam.h, I see that
there are three ranges:1-9999 manually assigned OIDs
10000-11999 OIDs assigned by genbki.pl
12000-16384 OIDs assigned to unpinned objects post-bootstrapIt seems to me that what this comment is saying is that OIDs in the
second and third categories are doled out by counters. Therefore, we
can't know which of those OIDs will get used, or how many of them will
get used, or which objects will get which OIDs. Therefore, I think we
should go back to the approach that you were using for template0 and
handle both that database and postgres using that method. That is,
assign an OID manually, and make sure unused_oids knows that it should
be counted as already used.
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.
Regards,
Shruthi KC
EnterpriseDB: http://www.enterprisedb.com
Attachments:
v13-0001-pg_upgrade-perserve-database-OID-patch.patchapplication/octet-stream; name=v13-0001-pg_upgrade-perserve-database-OID-patch.patchDownload
From 981645f7c1b278aa1c2a4770c132c0daa3d5085c Mon Sep 17 00:00:00 2001
From: shruthikc-gowda <shruthi.kc@enterprisedb.com>
Date: Sat, 22 Jan 2022 12:38:19 +0530
Subject: [PATCH v13] pg_upgrade perserve database OID patch
---
doc/src/sgml/ref/create_database.sgml | 18 ++++++++++-
src/backend/commands/dbcommands.c | 57 ++++++++++++++++++++++++++++++++---
src/bin/initdb/initdb.c | 22 ++++++++++++--
src/bin/pg_dump/pg_dump.c | 12 ++++++--
src/bin/pg_upgrade/IMPLEMENTATION | 2 +-
src/bin/pg_upgrade/info.c | 9 ++----
src/bin/pg_upgrade/pg_upgrade.h | 3 +-
src/bin/pg_upgrade/relfilenode.c | 4 +--
src/bin/psql/tab-complete.c | 2 +-
src/include/access/transam.h | 4 +++
src/include/catalog/unused_oids | 9 ++++++
11 files changed, 120 insertions(+), 22 deletions(-)
diff --git a/doc/src/sgml/ref/create_database.sgml b/doc/src/sgml/ref/create_database.sgml
index 41cb406..f22e28d 100644
--- a/doc/src/sgml/ref/create_database.sgml
+++ b/doc/src/sgml/ref/create_database.sgml
@@ -31,7 +31,8 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
[ TABLESPACE [=] <replaceable class="parameter">tablespace_name</replaceable> ]
[ ALLOW_CONNECTIONS [=] <replaceable class="parameter">allowconn</replaceable> ]
[ CONNECTION LIMIT [=] <replaceable class="parameter">connlimit</replaceable> ]
- [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ] ]
+ [ IS_TEMPLATE [=] <replaceable class="parameter">istemplate</replaceable> ]
+ [ OID [=] <replaceable class="parameter">oid</replaceable> ] ]
</synopsis>
</refsynopsisdiv>
@@ -203,6 +204,21 @@ CREATE DATABASE <replaceable class="parameter">name</replaceable>
</para>
</listitem>
</varlistentry>
+
+ <varlistentry>
+ <term><replaceable class="parameter">oid</replaceable></term>
+ <listitem>
+ <para>
+ The object identifier to be used for the new database. If this
+ parameter is not specified, the database will choose a suitable
+ OID automatically. This parameter is primarily intended for internal
+ use by <application>pg_upgrade</application>, and only
+ <application>pg_upgrade</application> can specify a value less
+ than 16384.
+ </para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
<para>
diff --git a/src/backend/commands/dbcommands.c b/src/backend/commands/dbcommands.c
index da83455..02529e5 100644
--- a/src/backend/commands/dbcommands.c
+++ b/src/backend/commands/dbcommands.c
@@ -115,7 +115,7 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
HeapTuple tuple;
Datum new_record[Natts_pg_database];
bool new_record_nulls[Natts_pg_database];
- Oid dboid;
+ Oid dboid = InvalidOid;
Oid datdba;
ListCell *option;
DefElem *dtablespacename = NULL;
@@ -215,6 +215,30 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
errhint("Consider using tablespaces instead."),
parser_errposition(pstate, defel->location)));
}
+ else if (strcmp(defel->defname, "oid") == 0)
+ {
+ dboid = defGetInt32(defel);
+
+ /*
+ * We don't normally permit new databases to be created with
+ * system-assigned OIDs. pg_upgrade tries to preserve database
+ * OIDs, and we don't want any OIDs that are used in this database
+ * cluster to be OIDs that might be used for some other cluster in
+ * a future version of PostgreSQL. We assume all such OIDs will be
+ * from the system-managed OID range.
+ *
+ * As an exception, however, we permit any OID to be assigned when
+ * allow_system_table_mods=on (so that initdb can assign system
+ * OIDs to template0 and postgres) or when performing a binary
+ * upgrade (so that pg_upgrade can preserve whatever OIDs it finds
+ * in the source cluster).
+ */
+ if (dboid < FirstNormalObjectId &&
+ !allowSystemTableMods && !IsBinaryUpgrade)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("OIDs less than %u are reserved for system objects", FirstNormalObjectId));
+ }
else
ereport(ERROR,
(errcode(ERRCODE_SYNTAX_ERROR),
@@ -502,11 +526,34 @@ createdb(ParseState *pstate, const CreatedbStmt *stmt)
*/
pg_database_rel = table_open(DatabaseRelationId, RowExclusiveLock);
- do
+ /*
+ * If database OID is configured, check if the OID is already in use or
+ * data directory already exists.
+ */
+ if (OidIsValid(dboid))
{
- dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
- Anum_pg_database_oid);
- } while (check_db_file_conflict(dboid));
+ char *existing_dbname = get_database_name(dboid);
+
+ if (existing_dbname != NULL)
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("database OID %u is already in use by database \"%s\"",
+ dboid, existing_dbname));
+
+ if (check_db_file_conflict(dboid))
+ ereport(ERROR,
+ (errcode(ERRCODE_INVALID_PARAMETER_VALUE)),
+ errmsg("data directory with the specified OID %u already exists", dboid));
+ }
+ else
+ {
+ /* Select an OID for the new database if is not explicitly configured. */
+ do
+ {
+ dboid = GetNewOidWithIndex(pg_database_rel, DatabaseOidIndexId,
+ Anum_pg_database_oid);
+ } while (check_db_file_conflict(dboid));
+ }
/*
* Insert a new tuple into pg_database. This establishes our ownership of
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 0a2dba7..d78e8e6 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,6 +59,7 @@
#include "sys/mman.h"
#endif
+#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
@@ -1838,8 +1839,23 @@ static void
make_template0(FILE *cmdfd)
{
const char *const *line;
+
+ /*
+ * pg_upgrade tries to preserve database OIDs across upgrades. It's smart
+ * enough to drop and recreate a conflicting database with the same name,
+ * but if the same OID were used for one system-created database in the
+ * old cluster and a different system-created database in the new cluster,
+ * it would fail. To avoid that, assign a fixed OID to template0 rather
+ * than letting the server choose one.
+ *
+ * (Note that, while the user could have dropped and recreated these
+ * objects in the old cluster, the problem scenario only exists if the OID
+ * that is in use in the old cluster is also used in the new cluster - and
+ * the new cluster should be the result of a fresh initdb.)
+ */
static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false;\n\n",
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
+ CppAsString2(Template0ObjectId) ";\n\n",
/*
* Explicitly revoke public create-schema and create-temp-table
@@ -1869,8 +1885,10 @@ static void
make_postgres(FILE *cmdfd)
{
const char *const *line;
+
+ /* Assign a fixed OID to postgres, for the same reasons as template0 */
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres;\n\n",
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) ";\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 7c2f1d3..d2847c7 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2838,8 +2838,16 @@ dumpDatabase(Archive *fout)
* are left to the DATABASE PROPERTIES entry, so that they can be applied
* after reconnecting to the target DB.
*/
- appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
- qdatname);
+ if (dopt->binary_upgrade)
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0 OID = %u",
+ qdatname, dbCatId.oid);
+ }
+ else
+ {
+ appendPQExpBuffer(creaQry, "CREATE DATABASE %s WITH TEMPLATE = template0",
+ qdatname);
+ }
if (strlen(encoding) > 0)
{
appendPQExpBufferStr(creaQry, " ENCODING = ");
diff --git a/src/bin/pg_upgrade/IMPLEMENTATION b/src/bin/pg_upgrade/IMPLEMENTATION
index 69fcd70..358e933 100644
--- a/src/bin/pg_upgrade/IMPLEMENTATION
+++ b/src/bin/pg_upgrade/IMPLEMENTATION
@@ -84,7 +84,7 @@ cluster using the first part of the pg_dumpall output.
Next, pg_upgrade executes the remainder of the script produced earlier
by pg_dumpall --- this script effectively creates the complete
user-defined metadata from the old cluster to the new cluster. It
-preserves the relfilenode numbers so TOAST and other references
+preserves the DB, tablespace, and relfilenode OIDs so TOAST and other references
to relfilenodes in user data is preserved. (See binary-upgrade usage
in pg_dump).
diff --git a/src/bin/pg_upgrade/info.c b/src/bin/pg_upgrade/info.c
index f7fa082..69ef231 100644
--- a/src/bin/pg_upgrade/info.c
+++ b/src/bin/pg_upgrade/info.c
@@ -190,10 +190,8 @@ create_rel_filename_map(const char *old_data, const char *new_data,
map->new_tablespace_suffix = new_cluster.tablespace_suffix;
}
- map->old_db_oid = old_db->db_oid;
- map->new_db_oid = new_db->db_oid;
-
- /* relfilenode is preserved across old and new cluster */
+ /* DB oid and relfilenodes are preserved between old and new cluster */
+ map->db_oid = old_db->db_oid;
map->relfilenode = old_rel->relfilenode;
/* used only for logging and error reporting, old/new are identical */
@@ -324,8 +322,7 @@ get_db_infos(ClusterInfo *cluster)
" LEFT OUTER JOIN pg_catalog.pg_tablespace t "
" ON d.dattablespace = t.oid "
"WHERE d.datallowconn = true "
- /* we don't preserve pg_database.oid so we sort by name */
- "ORDER BY 2");
+ "ORDER BY 1");
res = executeQueryOrDie(conn, "%s", query);
diff --git a/src/bin/pg_upgrade/pg_upgrade.h b/src/bin/pg_upgrade/pg_upgrade.h
index da6770d..1db8e3f 100644
--- a/src/bin/pg_upgrade/pg_upgrade.h
+++ b/src/bin/pg_upgrade/pg_upgrade.h
@@ -145,8 +145,7 @@ typedef struct
const char *new_tablespace;
const char *old_tablespace_suffix;
const char *new_tablespace_suffix;
- Oid old_db_oid;
- Oid new_db_oid;
+ Oid db_oid;
Oid relfilenode;
/* the rest are used only for logging and error reporting */
char *nspname; /* namespaces */
diff --git a/src/bin/pg_upgrade/relfilenode.c b/src/bin/pg_upgrade/relfilenode.c
index 6e0253c..2f4deb3 100644
--- a/src/bin/pg_upgrade/relfilenode.c
+++ b/src/bin/pg_upgrade/relfilenode.c
@@ -193,14 +193,14 @@ transfer_relfile(FileNameMap *map, const char *type_suffix, bool vm_must_add_fro
snprintf(old_file, sizeof(old_file), "%s%s/%u/%u%s%s",
map->old_tablespace,
map->old_tablespace_suffix,
- map->old_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
snprintf(new_file, sizeof(new_file), "%s%s/%u/%u%s%s",
map->new_tablespace,
map->new_tablespace_suffix,
- map->new_db_oid,
+ map->db_oid,
map->relfilenode,
type_suffix,
extent_suffix);
diff --git a/src/bin/psql/tab-complete.c b/src/bin/psql/tab-complete.c
index 6bd33a0..502b5c5 100644
--- a/src/bin/psql/tab-complete.c
+++ b/src/bin/psql/tab-complete.c
@@ -2633,7 +2633,7 @@ psql_completion(const char *text, int start, int end)
COMPLETE_WITH("OWNER", "TEMPLATE", "ENCODING", "TABLESPACE",
"IS_TEMPLATE",
"ALLOW_CONNECTIONS", "CONNECTION LIMIT",
- "LC_COLLATE", "LC_CTYPE", "LOCALE");
+ "LC_COLLATE", "LC_CTYPE", "LOCALE", "OID");
else if (Matches("CREATE", "DATABASE", MatchAny, "TEMPLATE"))
COMPLETE_WITH_QUERY(Query_for_list_of_template_databases);
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 338dfca..9a2816d 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,6 +196,10 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
+/* OIDs of Template0 and Postgres database are fixed */
+#define Template0ObjectId 4
+#define PostgresObjectId 5
+
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index e55bc6f..61d41e7 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,6 +32,15 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
+# Push the template0 and postgres database OIDs.
+my $Template0ObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
+push @{$oids}, $Template0ObjectId;
+
+my $PostgresObjectId =
+ Catalog::FindDefinedSymbol('access/transam.h', '..', 'PostgresObjectId');
+push @{$oids}, $PostgresObjectId;
+
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
--
1.8.3.1
On Sat, Jan 22, 2022 at 12:47:35PM +0530, Shruthi Gowda wrote:
On Sat, Jan 22, 2022 at 12:27 AM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Robert Haas <robertmhaas@gmail.com> writes:
It seems to me that what this comment is saying is that OIDs in the
second and third categories are doled out by counters. Therefore, we
can't know which of those OIDs will get used, or how many of them will
get used, or which objects will get which OIDs. Therefore, I think we
should go back to the approach that you were using for template0 and
handle both that database and postgres using that method. That is,
assign an OID manually, and make sure unused_oids knows that it should
be counted as already used.Indeed. If you're going to manually assign OIDs to these databases,
do it honestly, and put them into the range intended for that purpose.
Trying to take short-cuts is just going to cause trouble down the road.Understood. I will rework the patch accordingly. Thanks
Thanks. To get the rsync update reduction we need to preserve database
oids.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
If only the physical world exists, free will is an illusion.
On Sat, Jan 22, 2022 at 2:20 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.
Thanks. Committed with a few more cosmetic changes.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jan 25, 2022 at 1:14 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Sat, Jan 22, 2022 at 2:20 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.Thanks. Committed with a few more cosmetic changes.
Thanks, Robert for committing this patch.
Stephen Frost <sfrost@snowman.net> wrote:
Perhaps this is all too meta and we need to work through some specific
ideas around just what this would look like. In particular, thinking
about what this API would look like and how it would be used by
reorderbuffer.c, which builds up changes in memory and then does a bare
write() call, seems like a main use-case to consider. The gist there
being "can we come up with an API to do all these things that doesn't
require entirely rewriting ReorderBufferSerializeChange()?"Seems like it'd be easier to achieve that by having something that looks
very close to how write() looks, but just happens to have the option to
run the data through a stream cipher and maybe does better error
handling for us. Making that layer also do block-based access to the
files underneath seems like a much larger effort that, sure, may make
some things better too but if we could do that with the same API then it
could also be done later if someone's interested in that.
My initial proposal is in this new thread:
/messages/by-id/4987.1644323098@antos
--
Antonin Houska
Web: https://www.cybertec-postgresql.com
On Tue, Jan 25, 2022 at 10:19:53AM +0530, Shruthi Gowda wrote:
On Tue, Jan 25, 2022 at 1:14 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Sat, Jan 22, 2022 at 2:20 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.Thanks. Committed with a few more cosmetic changes.
Thanks, Robert for committing this patch.
If I'm not wrong, this can be closed.
https://commitfest.postgresql.org/37/3296/
On 2022-01-24 14:44:10 -0500, Robert Haas wrote:
On Sat, Jan 22, 2022 at 2:20 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.Thanks. Committed with a few more cosmetic changes.
I noticed this still has an open CF entry: https://commitfest.postgresql.org/37/3296/
I assume it can be marked as committed?
- Andres
On Mon, Mar 21, 2022 at 8:52 PM Andres Freund <andres@anarazel.de> wrote:
I noticed this still has an open CF entry: https://commitfest.postgresql.org/37/3296/
I assume it can be marked as committed?
Yeah, done now. But don't forget that we still need to do something on
the "wrong fds used for refilenodes after pg_upgrade relfilenode
changes Reply-To:" thread, and I think the ball is in your court
there.
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
On Sat, Jan 22, 2022 at 2:20 AM Shruthi Gowda <gowdashru@gmail.com> wrote:
Agree. In the latest patch, the template0 and postgres OIDs are fixed
to unused manually assigned OIDs 4 and 5 respectively. These OIDs are
no more listed as unused OIDs.
Thanks. Committed with a few more cosmetic changes.
I happened to take a closer look at this patch today, and I'm pretty
unhappy with the way that the assignment of those OIDs was managed.
There are two big problems:
1. IsPinnedObject() will now report that template0 and postgres are
pinned. This seems not to prevent one from dropping them (I guess
dropdb() doesn't consult IsPinnedObject), but it would probably bollix
any pg_shdepend management that should happen for them.
2. The Catalog.pm infrastructure knows nothing about these OIDs.
While the unused_oids script was hack-n-slashed to claim that the
OIDs are used, other scripts won't know about them; for example
duplicate_oids won't report conflicts if someone tries to reuse
those OIDs.
The attached draft patch attempts to improve this situation.
It reserves these OIDs, and creates the associated macros, through
the normal BKI infrastructure by adding entries in pg_database.dat.
We have to delete those rows again during initdb, which is slightly
ugly but surely no more so than initdb's other direct manipulations
of pg_database.
There are a few loose ends:
* I'm a bit inclined to simplify IsPinnedObject by just teaching
it that *no* entries of pg_database are pinned, which would correspond
to the evident lack of enforcement in dropdb(). Can anyone see a
reason why we might pin some database in future?
* I had to set up the additional pg_database entries with nonzero
datfrozenxid to avoid an assertion failure during initdb's first VACUUM.
(That VACUUM will overwrite template1's datfrozenxid before computing
the global minimum frozen XID, but not these others; and it doesn't like
finding that the minimum is zero.) This feels klugy. An alternative is
to delete the extra pg_database rows before that VACUUM, which would
mean taking those deletes out of make_template0 and make_postgres and
putting them somewhere seemingly unrelated, so that's a bit crufty too.
Anybody have a preference?
* The new macro names seem ill-chosen. Template0ObjectId is spelled
randomly differently from the longstanding TemplateDbOid, and surely
PostgresObjectId is about as vague a name as could possibly have
been thought of (please name an object that it couldn't apply to).
I'm a little inclined to rename TemplateDbOid to Template1DbOid and
use Template0DbOid and PostgresDbOid for the others, but I didn't pull
that trigger here.
Comments?
regards, tom lane
Attachments:
fix-assignment-of-initdb-database-OIDs.patchtext/x-diff; charset=us-ascii; name=fix-assignment-of-initdb-database-OIDs.patchDownload
diff --git a/src/backend/catalog/catalog.c b/src/backend/catalog/catalog.c
index 520f77971b..d7e5c02f95 100644
--- a/src/backend/catalog/catalog.c
+++ b/src/backend/catalog/catalog.c
@@ -339,9 +339,11 @@ IsPinnedObject(Oid classId, Oid objectId)
* robustness.
*/
- /* template1 is not pinned */
+ /* template1, template0, postgres are not pinned */
if (classId == DatabaseRelationId &&
- objectId == TemplateDbOid)
+ (objectId == TemplateDbOid ||
+ objectId == Template0ObjectId ||
+ objectId == PostgresObjectId))
return false;
/* the public namespace is not pinned */
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 1cb4a5b0d2..04454b3d7c 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,11 +59,11 @@
#include "sys/mman.h"
#endif
-#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
#include "catalog/pg_collation_d.h"
+#include "catalog/pg_database_d.h" /* pgrminclude ignore */
#include "common/file_perm.h"
#include "common/file_utils.h"
#include "common/logging.h"
@@ -1806,14 +1806,24 @@ make_template0(FILE *cmdfd)
* objects in the old cluster, the problem scenario only exists if the OID
* that is in use in the old cluster is also used in the new cluster - and
* the new cluster should be the result of a fresh initdb.)
- *
- * We use "STRATEGY = file_copy" here because checkpoints during initdb
- * are cheap. "STRATEGY = wal_log" would generate more WAL, which would
- * be a little bit slower and make the new cluster a little bit bigger.
*/
static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
- CppAsString2(Template0ObjectId)
+ /*
+ * Since pg_database.dat includes a dummy row for template0, we have
+ * to remove that before creating the database for real.
+ */
+ "DELETE FROM pg_database WHERE datname = 'template0';\n\n",
+
+ /*
+ * Clone template1 to make template0.
+ *
+ * We use "STRATEGY = file_copy" here because checkpoints during
+ * initdb are cheap. "STRATEGY = wal_log" would generate more WAL,
+ * which would be a little bit slower and make the new cluster a
+ * little bit bigger.
+ */
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false"
+ " OID = " CppAsString2(Template0ObjectId)
" STRATEGY = file_copy;\n\n",
/*
@@ -1836,12 +1846,11 @@ make_template0(FILE *cmdfd)
"REVOKE CREATE,TEMPORARY ON DATABASE template1 FROM public;\n\n",
"REVOKE CREATE,TEMPORARY ON DATABASE template0 FROM public;\n\n",
- "COMMENT ON DATABASE template0 IS 'unmodifiable empty database';\n\n",
-
/*
- * Finally vacuum to clean up dead rows in pg_database
+ * Note: postgres.bki filled in a comment for template0, so we need
+ * not do that here.
*/
- "VACUUM pg_database;\n\n",
+
NULL
};
@@ -1858,12 +1867,19 @@ make_postgres(FILE *cmdfd)
const char *const *line;
/*
- * Just as we did for template0, and for the same reasons, assign a fixed
- * OID to postgres and select the file_copy strategy.
+ * Comments in make_template0() mostly apply here too.
*/
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) " STRATEGY = file_copy;\n\n",
- "COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
+ "DELETE FROM pg_database WHERE datname = 'postgres';\n\n",
+
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId)
+ " STRATEGY = file_copy;\n\n",
+
+ /*
+ * Finally vacuum to clean up dead rows in pg_database
+ */
+ "VACUUM pg_database;\n\n",
+
NULL
};
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index 969e2a7a46..bcb81e02c4 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2844,10 +2844,11 @@ dumpDatabase(Archive *fout)
qdatname = pg_strdup(fmtId(datname));
/*
- * Prepare the CREATE DATABASE command. We must specify encoding, locale,
- * and tablespace since those can't be altered later. Other DB properties
- * are left to the DATABASE PROPERTIES entry, so that they can be applied
- * after reconnecting to the target DB.
+ * Prepare the CREATE DATABASE command. We must specify OID (if we want
+ * to preserve that), as well as the encoding, locale, and tablespace
+ * since those can't be altered later. Other DB properties are left to
+ * the DATABASE PROPERTIES entry, so that they can be applied after
+ * reconnecting to the target DB.
*/
if (dopt->binary_upgrade)
{
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 9a2816de51..338dfca5a0 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,10 +196,6 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
-/* OIDs of Template0 and Postgres database are fixed */
-#define Template0ObjectId 4
-#define PostgresObjectId 5
-
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/pg_database.dat b/src/include/catalog/pg_database.dat
index 5feedff7bf..6c2221a4e9 100644
--- a/src/include/catalog/pg_database.dat
+++ b/src/include/catalog/pg_database.dat
@@ -19,4 +19,24 @@
datminmxid => '1', dattablespace => 'pg_default', datcollate => 'LC_COLLATE',
datctype => 'LC_CTYPE', daticulocale => 'ICU_LOCALE', datacl => '_null_' },
+# The template0 and postgres entries are included here to reserve their
+# associated OIDs. We show their correct properties for reference, but
+# note that these pg_database rows are removed and replaced by initdb.
+# Unlike the row for template1, their datfrozenxids will not be overwritten
+# during initdb's first VACUUM, so we have to provide normal-looking XIDs.
+
+{ oid => '4', oid_symbol => 'Template0ObjectId',
+ descr => 'unmodifiable empty database',
+ datname => 'template0', encoding => 'ENCODING', datlocprovider => 'LOCALE_PROVIDER', datistemplate => 't',
+ datallowconn => 'f', datconnlimit => '-1', datfrozenxid => '4',
+ datminmxid => '1', dattablespace => 'pg_default', datcollate => 'LC_COLLATE',
+ datctype => 'LC_CTYPE', daticulocale => 'ICU_LOCALE', datacl => '_null_' },
+
+{ oid => '5', oid_symbol => 'PostgresObjectId',
+ descr => 'default administrative connection database',
+ datname => 'postgres', encoding => 'ENCODING', datlocprovider => 'LOCALE_PROVIDER', datistemplate => 'f',
+ datallowconn => 't', datconnlimit => '-1', datfrozenxid => '4',
+ datminmxid => '1', dattablespace => 'pg_default', datcollate => 'LC_COLLATE',
+ datctype => 'LC_CTYPE', daticulocale => 'ICU_LOCALE', datacl => '_null_' },
+
]
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 61d41e7561..e55bc6fa3c 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,15 +32,6 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
-# Push the template0 and postgres database OIDs.
-my $Template0ObjectId =
- Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
-push @{$oids}, $Template0ObjectId;
-
-my $PostgresObjectId =
- Catalog::FindDefinedSymbol('access/transam.h', '..', 'PostgresObjectId');
-push @{$oids}, $PostgresObjectId;
-
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
On Wed, Apr 20, 2022 at 2:34 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
The attached draft patch attempts to improve this situation.
It reserves these OIDs, and creates the associated macros, through
the normal BKI infrastructure by adding entries in pg_database.dat.
We have to delete those rows again during initdb, which is slightly
ugly but surely no more so than initdb's other direct manipulations
of pg_database.
I'm not sure I really like this approach, but if you're firmly
convinced that it's better than cleaning up the loose ends in some
other way, I'm not going to waste a lot of energy fighting about it.
It doesn't seem horrible.
There are a few loose ends:
* I'm a bit inclined to simplify IsPinnedObject by just teaching
it that *no* entries of pg_database are pinned, which would correspond
to the evident lack of enforcement in dropdb(). Can anyone see a
reason why we might pin some database in future?
It's kind of curious that we don't pin anything now. There's kind of
nothing to stop you from hosing the system by dropping template0
and/or template1, or mutating them into some crazy form that doesn't
work. But having said that, if as a matter of policy we don't even pin
template0 or template1 or postgres, then it seems unlikely that we
would suddenly decide to pin some new database in the future.
* I had to set up the additional pg_database entries with nonzero
datfrozenxid to avoid an assertion failure during initdb's first VACUUM.
(That VACUUM will overwrite template1's datfrozenxid before computing
the global minimum frozen XID, but not these others; and it doesn't like
finding that the minimum is zero.) This feels klugy. An alternative is
to delete the extra pg_database rows before that VACUUM, which would
mean taking those deletes out of make_template0 and make_postgres and
putting them somewhere seemingly unrelated, so that's a bit crufty too.
Anybody have a preference?
Not really. If anything that's an argument against this entire
approach, but I already commented on that point above.
* The new macro names seem ill-chosen. Template0ObjectId is spelled
randomly differently from the longstanding TemplateDbOid, and surely
PostgresObjectId is about as vague a name as could possibly have
been thought of (please name an object that it couldn't apply to).
I'm a little inclined to rename TemplateDbOid to Template1DbOid and
use Template0DbOid and PostgresDbOid for the others, but I didn't pull
that trigger here.
Seems totally reasonable. I don't find the current naming horrible or
I'd not have committed it that way, but putting Db in there makes
sense, too.
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
On Wed, Apr 20, 2022 at 2:34 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
The attached draft patch attempts to improve this situation.
It reserves these OIDs, and creates the associated macros, through
the normal BKI infrastructure by adding entries in pg_database.dat.
We have to delete those rows again during initdb, which is slightly
ugly but surely no more so than initdb's other direct manipulations
of pg_database.
I'm not sure I really like this approach, but if you're firmly
convinced that it's better than cleaning up the loose ends in some
other way, I'm not going to waste a lot of energy fighting about it.
Having just had to bury my nose in renumber_oids.pl, I thought of a
different approach we could take to expose these OIDs to Catalog.pm.
That's to invent a new macro that Catalog.pm recognizes, and write
something about like this in pg_database.h:
DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);
That would result in (a) the OIDs becoming known to Catalog.pm
as reserved, though it wouldn't have any great clue about their
semantics; and (b) this getting emitted into pg_database_d.h:
#define Template0ObjectId 4
#define PostgresObjectId 5
Then we'd not need the dummy entries in pg_database.dat, which
does seem cleaner now that I think about it. A downside is that
with no context, Catalog.pm could not provide name translation
services during postgres.bki generation for such OIDs --- but
at least for these entries, we don't need that.
If that seems more plausible to you I'll set about preparing a patch.
regards, tom lane
On Wed, Apr 20, 2022 at 4:56 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Having just had to bury my nose in renumber_oids.pl, I thought of a
different approach we could take to expose these OIDs to Catalog.pm.
That's to invent a new macro that Catalog.pm recognizes, and write
something about like this in pg_database.h:DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);If that seems more plausible to you I'll set about preparing a patch.
I like it!
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
On Wed, Apr 20, 2022 at 4:56 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Having just had to bury my nose in renumber_oids.pl, I thought of a
different approach we could take to expose these OIDs to Catalog.pm.
That's to invent a new macro that Catalog.pm recognizes, and write
something about like this in pg_database.h:
DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);
I like it!
0001 attached is a revised patch that does it that way. This seems
like a clearly better answer.
0002 contains the perhaps-slightly-more-controversial changes of
changing the macro names and explicitly pinning no databases.
regards, tom lane
Attachments:
0001-fix-assignment-of-database-OIDs-2.patchtext/x-diff; charset=us-ascii; name=0001-fix-assignment-of-database-OIDs-2.patchDownload
diff --git a/src/backend/catalog/Catalog.pm b/src/backend/catalog/Catalog.pm
index 0275795dea..ece0a934f0 100644
--- a/src/backend/catalog/Catalog.pm
+++ b/src/backend/catalog/Catalog.pm
@@ -44,6 +44,8 @@ sub ParseHeader
$catalog{columns} = [];
$catalog{toasting} = [];
$catalog{indexing} = [];
+ $catalog{other_oids} = [];
+ $catalog{foreign_keys} = [];
$catalog{client_code} = [];
open(my $ifh, '<', $input_file) || die "$input_file: $!";
@@ -118,6 +120,14 @@ sub ParseHeader
index_decl => $6
};
}
+ elsif (/^DECLARE_OID_DEFINING_MACRO\(\s*(\w+),\s*(\d+)\)/)
+ {
+ push @{ $catalog{other_oids} },
+ {
+ other_name => $1,
+ other_oid => $2
+ };
+ }
elsif (
/^DECLARE_(ARRAY_)?FOREIGN_KEY(_OPT)?\(\s*\(([^)]+)\),\s*(\w+),\s*\(([^)]+)\)\)/
)
@@ -572,6 +582,10 @@ sub FindAllOidsFromHeaders
{
push @oids, $index->{index_oid};
}
+ foreach my $other (@{ $catalog->{other_oids} })
+ {
+ push @oids, $other->{other_oid};
+ }
}
return \@oids;
diff --git a/src/backend/catalog/catalog.c b/src/backend/catalog/catalog.c
index 520f77971b..d7e5c02f95 100644
--- a/src/backend/catalog/catalog.c
+++ b/src/backend/catalog/catalog.c
@@ -339,9 +339,11 @@ IsPinnedObject(Oid classId, Oid objectId)
* robustness.
*/
- /* template1 is not pinned */
+ /* template1, template0, postgres are not pinned */
if (classId == DatabaseRelationId &&
- objectId == TemplateDbOid)
+ (objectId == TemplateDbOid ||
+ objectId == Template0ObjectId ||
+ objectId == PostgresObjectId))
return false;
/* the public namespace is not pinned */
diff --git a/src/backend/catalog/genbki.pl b/src/backend/catalog/genbki.pl
index 2d02b02267..f4ec6d6d40 100644
--- a/src/backend/catalog/genbki.pl
+++ b/src/backend/catalog/genbki.pl
@@ -472,7 +472,7 @@ EOM
$catalog->{rowtype_oid_macro}, $catalog->{rowtype_oid}
if $catalog->{rowtype_oid_macro};
- # Likewise for macros for toast and index OIDs
+ # Likewise for macros for toast, index, and other OIDs
foreach my $toast (@{ $catalog->{toasting} })
{
printf $def "#define %s %s\n",
@@ -488,6 +488,12 @@ EOM
$index->{index_oid_macro}, $index->{index_oid}
if $index->{index_oid_macro};
}
+ foreach my $other (@{ $catalog->{other_oids} })
+ {
+ printf $def "#define %s %s\n",
+ $other->{other_name}, $other->{other_oid}
+ if $other->{other_name};
+ }
print $def "\n";
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 1cb4a5b0d2..5e2eeefc4c 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -59,11 +59,11 @@
#include "sys/mman.h"
#endif
-#include "access/transam.h"
#include "access/xlog_internal.h"
#include "catalog/pg_authid_d.h"
#include "catalog/pg_class_d.h" /* pgrminclude ignore */
#include "catalog/pg_collation_d.h"
+#include "catalog/pg_database_d.h" /* pgrminclude ignore */
#include "common/file_perm.h"
#include "common/file_utils.h"
#include "common/logging.h"
diff --git a/src/bin/pg_dump/pg_dump.c b/src/bin/pg_dump/pg_dump.c
index d3588607e7..786d592e2b 100644
--- a/src/bin/pg_dump/pg_dump.c
+++ b/src/bin/pg_dump/pg_dump.c
@@ -2901,10 +2901,11 @@ dumpDatabase(Archive *fout)
qdatname = pg_strdup(fmtId(datname));
/*
- * Prepare the CREATE DATABASE command. We must specify encoding, locale,
- * and tablespace since those can't be altered later. Other DB properties
- * are left to the DATABASE PROPERTIES entry, so that they can be applied
- * after reconnecting to the target DB.
+ * Prepare the CREATE DATABASE command. We must specify OID (if we want
+ * to preserve that), as well as the encoding, locale, and tablespace
+ * since those can't be altered later. Other DB properties are left to
+ * the DATABASE PROPERTIES entry, so that they can be applied after
+ * reconnecting to the target DB.
*/
if (dopt->binary_upgrade)
{
diff --git a/src/include/access/transam.h b/src/include/access/transam.h
index 9a2816de51..338dfca5a0 100644
--- a/src/include/access/transam.h
+++ b/src/include/access/transam.h
@@ -196,10 +196,6 @@ FullTransactionIdAdvance(FullTransactionId *dest)
#define FirstUnpinnedObjectId 12000
#define FirstNormalObjectId 16384
-/* OIDs of Template0 and Postgres database are fixed */
-#define Template0ObjectId 4
-#define PostgresObjectId 5
-
/*
* VariableCache is a data structure in shared memory that is used to track
* OID and XID assignment state. For largely historical reasons, there is
diff --git a/src/include/catalog/genbki.h b/src/include/catalog/genbki.h
index 4ecd76f4be..992b784236 100644
--- a/src/include/catalog/genbki.h
+++ b/src/include/catalog/genbki.h
@@ -84,6 +84,14 @@
#define DECLARE_UNIQUE_INDEX(name,oid,oidmacro,decl) extern int no_such_variable
#define DECLARE_UNIQUE_INDEX_PKEY(name,oid,oidmacro,decl) extern int no_such_variable
+/*
+ * These lines inform genbki.pl about manually-assigned OIDs that do not
+ * correspond to any entry in the catalog *.dat files, but should be subject
+ * to uniqueness verification and renumber_oids.pl renumbering. A C macro
+ * to #define the given name is emitted into the corresponding *_d.h file.
+ */
+#define DECLARE_OID_DEFINING_MACRO(name,oid) extern int no_such_variable
+
/*
* These lines are processed by genbki.pl to create a table for use
* by the pg_get_catalog_foreign_keys() function. We do not have any
diff --git a/src/include/catalog/pg_database.h b/src/include/catalog/pg_database.h
index e10e91c0af..96be9e9729 100644
--- a/src/include/catalog/pg_database.h
+++ b/src/include/catalog/pg_database.h
@@ -91,4 +91,13 @@ DECLARE_TOAST_WITH_MACRO(pg_database, 4177, 4178, PgDatabaseToastTable, PgDataba
DECLARE_UNIQUE_INDEX(pg_database_datname_index, 2671, DatabaseNameIndexId, on pg_database using btree(datname name_ops));
DECLARE_UNIQUE_INDEX_PKEY(pg_database_oid_index, 2672, DatabaseOidIndexId, on pg_database using btree(oid oid_ops));
+/*
+ * pg_database.dat contains an entry for template1, but not for the template0
+ * or postgres databases, because those are created later in initdb.
+ * However, we still want to manually assign the OIDs for template0 and
+ * postgres, so declare those here.
+ */
+DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
+DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);
+
#endif /* PG_DATABASE_H */
diff --git a/src/include/catalog/renumber_oids.pl b/src/include/catalog/renumber_oids.pl
index 7de13da4bd..ba8c69c87e 100755
--- a/src/include/catalog/renumber_oids.pl
+++ b/src/include/catalog/renumber_oids.pl
@@ -170,6 +170,16 @@ foreach my $input_file (@header_files)
$changed = 1;
}
}
+ elsif (/^(DECLARE_OID_DEFINING_MACRO\(\s*\w+,\s*)(\d+)\)/)
+ {
+ if (exists $maphash{$2})
+ {
+ my $repl = $1 . $maphash{$2} . ")";
+ $line =~
+ s/^DECLARE_OID_DEFINING_MACRO\(\s*\w+,\s*\d+\)/$repl/;
+ $changed = 1;
+ }
+ }
elsif ($line =~ m/^CATALOG\((\w+),(\d+),(\w+)\)/)
{
if (exists $maphash{$2})
diff --git a/src/include/catalog/unused_oids b/src/include/catalog/unused_oids
index 61d41e7561..e55bc6fa3c 100755
--- a/src/include/catalog/unused_oids
+++ b/src/include/catalog/unused_oids
@@ -32,15 +32,6 @@ my @input_files = glob("pg_*.h");
my $oids = Catalog::FindAllOidsFromHeaders(@input_files);
-# Push the template0 and postgres database OIDs.
-my $Template0ObjectId =
- Catalog::FindDefinedSymbol('access/transam.h', '..', 'Template0ObjectId');
-push @{$oids}, $Template0ObjectId;
-
-my $PostgresObjectId =
- Catalog::FindDefinedSymbol('access/transam.h', '..', 'PostgresObjectId');
-push @{$oids}, $PostgresObjectId;
-
# Also push FirstGenbkiObjectId to serve as a terminator for the last gap.
my $FirstGenbkiObjectId =
Catalog::FindDefinedSymbol('access/transam.h', '..', 'FirstGenbkiObjectId');
0002-rename-symbols-and-pin-no-DBs.patchtext/x-diff; charset=us-ascii; name=0002-rename-symbols-and-pin-no-DBs.patchDownload
diff --git a/doc/src/sgml/bki.sgml b/doc/src/sgml/bki.sgml
index 33955494c6..20894baf18 100644
--- a/doc/src/sgml/bki.sgml
+++ b/doc/src/sgml/bki.sgml
@@ -180,12 +180,13 @@
[
# A comment could appear here.
-{ oid => '1', oid_symbol => 'TemplateDbOid',
+{ oid => '1', oid_symbol => 'Template1DbOid',
descr => 'database\'s default template',
- datname => 'template1', encoding => 'ENCODING', datistemplate => 't',
+ datname => 'template1', encoding => 'ENCODING',
+ datlocprovider => 'LOCALE_PROVIDER', datistemplate => 't',
datallowconn => 't', datconnlimit => '-1', datfrozenxid => '0',
datminmxid => '1', dattablespace => 'pg_default', datcollate => 'LC_COLLATE',
- datctype => 'LC_CTYPE', datacl => '_null_' },
+ datctype => 'LC_CTYPE', daticulocale => 'ICU_LOCALE', datacl => '_null_' },
]
]]></programlisting>
diff --git a/src/backend/access/transam/xlog.c b/src/backend/access/transam/xlog.c
index 5eabd32cf6..61cda56c6f 100644
--- a/src/backend/access/transam/xlog.c
+++ b/src/backend/access/transam/xlog.c
@@ -4540,9 +4540,9 @@ BootStrapXLOG(void)
checkPoint.nextMulti = FirstMultiXactId;
checkPoint.nextMultiOffset = 0;
checkPoint.oldestXid = FirstNormalTransactionId;
- checkPoint.oldestXidDB = TemplateDbOid;
+ checkPoint.oldestXidDB = Template1DbOid;
checkPoint.oldestMulti = FirstMultiXactId;
- checkPoint.oldestMultiDB = TemplateDbOid;
+ checkPoint.oldestMultiDB = Template1DbOid;
checkPoint.oldestCommitTsXid = InvalidTransactionId;
checkPoint.newestCommitTsXid = InvalidTransactionId;
checkPoint.time = (pg_time_t) time(NULL);
diff --git a/src/backend/catalog/catalog.c b/src/backend/catalog/catalog.c
index d7e5c02f95..e784538aae 100644
--- a/src/backend/catalog/catalog.c
+++ b/src/backend/catalog/catalog.c
@@ -339,18 +339,20 @@ IsPinnedObject(Oid classId, Oid objectId)
* robustness.
*/
- /* template1, template0, postgres are not pinned */
- if (classId == DatabaseRelationId &&
- (objectId == TemplateDbOid ||
- objectId == Template0ObjectId ||
- objectId == PostgresObjectId))
- return false;
-
/* the public namespace is not pinned */
if (classId == NamespaceRelationId &&
objectId == PG_PUBLIC_NAMESPACE)
return false;
+ /*
+ * Databases are never pinned. It might seem that it'd be prudent to pin
+ * at least template0; but we do this intentionally so that template0 and
+ * template1 can be rebuilt from each other, thus letting them serve as
+ * mutual backups (as long as you've not modified template1, anyway).
+ */
+ if (classId == DatabaseRelationId)
+ return false;
+
/*
* All other initdb-created objects are pinned. This is overkill (the
* system doesn't really depend on having every last weird datatype, for
diff --git a/src/backend/utils/init/postinit.c b/src/backend/utils/init/postinit.c
index 9139fe895c..5dbc7379e3 100644
--- a/src/backend/utils/init/postinit.c
+++ b/src/backend/utils/init/postinit.c
@@ -908,7 +908,7 @@ InitPostgres(const char *in_dbname, Oid dboid, const char *username,
*/
if (bootstrap)
{
- MyDatabaseId = TemplateDbOid;
+ MyDatabaseId = Template1DbOid;
MyDatabaseTableSpace = DEFAULTTABLESPACE_OID;
}
else if (in_dbname != NULL)
diff --git a/src/bin/initdb/initdb.c b/src/bin/initdb/initdb.c
index 5e2eeefc4c..fcef651c2f 100644
--- a/src/bin/initdb/initdb.c
+++ b/src/bin/initdb/initdb.c
@@ -1812,8 +1812,8 @@ make_template0(FILE *cmdfd)
* be a little bit slower and make the new cluster a little bit bigger.
*/
static const char *const template0_setup[] = {
- "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false OID = "
- CppAsString2(Template0ObjectId)
+ "CREATE DATABASE template0 IS_TEMPLATE = true ALLOW_CONNECTIONS = false"
+ " OID = " CppAsString2(Template0DbOid)
" STRATEGY = file_copy;\n\n",
/*
@@ -1862,7 +1862,8 @@ make_postgres(FILE *cmdfd)
* OID to postgres and select the file_copy strategy.
*/
static const char *const postgres_setup[] = {
- "CREATE DATABASE postgres OID = " CppAsString2(PostgresObjectId) " STRATEGY = file_copy;\n\n",
+ "CREATE DATABASE postgres OID = " CppAsString2(PostgresDbOid)
+ " STRATEGY = file_copy;\n\n",
"COMMENT ON DATABASE postgres IS 'default administrative connection database';\n\n",
NULL
};
diff --git a/src/include/catalog/pg_database.dat b/src/include/catalog/pg_database.dat
index 5feedff7bf..05873f74f6 100644
--- a/src/include/catalog/pg_database.dat
+++ b/src/include/catalog/pg_database.dat
@@ -12,7 +12,7 @@
[
-{ oid => '1', oid_symbol => 'TemplateDbOid',
+{ oid => '1', oid_symbol => 'Template1DbOid',
descr => 'default template for new databases',
datname => 'template1', encoding => 'ENCODING', datlocprovider => 'LOCALE_PROVIDER', datistemplate => 't',
datallowconn => 't', datconnlimit => '-1', datfrozenxid => '0',
diff --git a/src/include/catalog/pg_database.h b/src/include/catalog/pg_database.h
index 96be9e9729..611c95656a 100644
--- a/src/include/catalog/pg_database.h
+++ b/src/include/catalog/pg_database.h
@@ -97,7 +97,7 @@ DECLARE_UNIQUE_INDEX_PKEY(pg_database_oid_index, 2672, DatabaseOidIndexId, on pg
* However, we still want to manually assign the OIDs for template0 and
* postgres, so declare those here.
*/
-DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
-DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);
+DECLARE_OID_DEFINING_MACRO(Template0DbOid, 4);
+DECLARE_OID_DEFINING_MACRO(PostgresDbOid, 5);
#endif /* PG_DATABASE_H */
On Thu, Apr 21, 2022 at 1:53 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Robert Haas <robertmhaas@gmail.com> writes:
On Wed, Apr 20, 2022 at 4:56 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
Having just had to bury my nose in renumber_oids.pl, I thought of a
different approach we could take to expose these OIDs to Catalog.pm.
That's to invent a new macro that Catalog.pm recognizes, and write
something about like this in pg_database.h:
DECLARE_OID_DEFINING_MACRO(Template0ObjectId, 4);
DECLARE_OID_DEFINING_MACRO(PostgresObjectId, 5);I like it!
0001 attached is a revised patch that does it that way. This seems
like a clearly better answer.0002 contains the perhaps-slightly-more-controversial changes of
changing the macro names and explicitly pinning no databases.
Both patches look good to me.
--
Robert Haas
EDB: http://www.enterprisedb.com
Robert Haas <robertmhaas@gmail.com> writes:
On Thu, Apr 21, 2022 at 1:53 PM Tom Lane <tgl@sss.pgh.pa.us> wrote:
0001 attached is a revised patch that does it that way. This seems
like a clearly better answer.
0002 contains the perhaps-slightly-more-controversial changes of
changing the macro names and explicitly pinning no databases.
Both patches look good to me.
Pushed, thanks for looking.
regards, tom lane
On Thu, Oct 7, 2021 at 11:50 AM Stephen Frost <sfrost@snowman.net> wrote:
Alternatively, we could use
that technique to just provide a better per-page checksum than what we
have today. Maybe we could figure out how to leverage that to move to
64bit transaction IDs with some page-level epoch.
I'm interested in assessing the feasibility of a "better page-level
checksums" feature. I have a few questions, and a few observations.
One of my questions is what algorithm(s) we'd want to support. I did a
quick Google search and found that brtfs supports CRC-32C, XXHASH,
SHA256, and BLAKE2B. I don't know that we want to support that many
options (but maybe we do) and I don't think CRC-32C makes any sense
here, for two reasons. First, we've already got a 16-bit checksum, and
a 32-bit checksum doesn't seem like it's gaining enough to be worth
the implementation complexity. Second, we're probably going to have to
dole out per-page space in multiples of MAXALIGN, and that's usually
8. I think for this purpose we should limit ourselves to algorithms
whose output size is, at minimum, 64 bits, and ideally, a multiple of
64 bits. I'm sure there are plenty of options other than the ones that
btrfs uses; I mentioned them only as a way of jump-starting the
discussion. Note that SHA-256 and BLAKE2B apparently emit enormously
wide 16 BYTE checksums. That's a lot of space to consume with a
checksum, but your chances of a collision are very small indeed.
Even if we only offer one new kind of checksum, making space for a
wider checksum makes the page format variable in a way that it
currently isn't. There seem to be about 50 compile-time constants in
the source code whose values are computed based on the block size and
amount of special space in use by some particular AM (yikes!). For
example, for the heap, there's stuff like MaxHeapTuplesPerPage and
MaxHeapTupleSize. If in the future we have some pages that are just
like the ones we have today, and other clusters where we've allowed
space for a checksum, then those constants become run-time variable.
And since they're used in some very low-level functions that are
called a lot, like PageGetHeapFreeSpace(), that seems potentially
problematic. The problem is multiplied if you also think about trying
to store an epoch on each heap page, as per Stephen's proposal above,
because now every page used by any AM whatsoever might or might not
have a checksum, and every heap page might also have or not have an
epoch XID. I think it's going to be somewhat tricky to figure out a
scheme here that avoids making things slow. Originally I was thinking
that things like MaxHeapTuplesPerPage ought to become macros or static
inline functions, but now I have what I think is a better idea: make
them into global variables and initialize them with the appropriate
values for the cluster right after we read the control file. This
doesn't solve the problem if some pages are different than others,
though, and even for the case where every page in the cluster has the
same amount of reserved space, reading a global variable is not going
to be as efficient as referring to a constant compiled right into the
code. I'm hopeful that all of this is solvable somehow, but it's
hairy, for sure.
Another thing I realized is that we would probably end up with the
pd_checksum unused when this other feature is activated. If someone
comes up with a clever idea for how to allocate extra space without
needing things to be a multiple of MAXIMUM_ALIGNOF, they could
potentially shrink the space they need elsewhere by 2 bytes and then
use both that space and pd_checksum, but otherwise pd_checksum is
likely to be dead when an enhanced checksum feature is in use. Since
it's also dead when checksums are turned off, that's probably OK. I
suppose another possibility is to allow both to be turned on and off
independently, i.e. let someone have both a Fletcher-16 checksum in
pd_checksum, and also a wider checksum in this other chunk of space,
but I'm not sure whether that's really a useful thing to be able to
do. (Opinions?)
I'm also a little fuzzy on what the command-line interface for
selecting this functionality would look like. The existing option to
initdb is just --data-checksums, which doesn't leave any way to say
what kind of checksums you want.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Thu, Jun 9, 2022 at 2:13 PM Robert Haas <robertmhaas@gmail.com> wrote:
I'm interested in assessing the feasibility of a "better page-level
checksums" feature. I have a few questions, and a few observations.
One of my questions is what algorithm(s) we'd want to support. I did a
quick Google search and found that brtfs supports CRC-32C, XXHASH,
SHA256, and BLAKE2B. I don't know that we want to support that many
options (but maybe we do) and I don't think CRC-32C makes any sense
here, for two reasons. First, we've already got a 16-bit checksum, and
a 32-bit checksum doesn't seem like it's gaining enough to be worth
the implementation complexity.
Why not? The only problems that it won't solve are all related to
crypto. Which is perfectly fine, but it seems like there is a
terminology issue here. ISTM that you're really talking about adding a
cryptographic hash function, not a checksum. These are rather
different things.
Even if we only offer one new kind of checksum, making space for a
wider checksum makes the page format variable in a way that it
currently isn't.
I believe that the page special area was designed to be
variable-sized, and even anticipates dynamic resizing of the special
area. At least in index AMs, where it's not that hard to make extra
space in the special area by shifting the tuples back, and then fixing
line pointers to point to the new offsets. So you have a dynamic
variable-sized array that's a little like a second line pointer array
(though probably not added to all that often).
My preference is for an approach that builds on that, or at least
doesn't significantly complicate it. So a cryptographic hash or nonce
can go in the special area proper (structs like BTPageOpaqueData don't
need any changes), but at a page offset before the special area proper
-- not after.
What disadvantages does that approach have, if any, from your point of view?
--
Peter Geoghegan
On Thu, Jun 9, 2022 at 2:33 PM Peter Geoghegan <pg@bowt.ie> wrote:
My preference is for an approach that builds on that, or at least
doesn't significantly complicate it. So a cryptographic hash or nonce
can go in the special area proper (structs like BTPageOpaqueData don't
need any changes), but at a page offset before the special area proper
-- not after.
Minor correction: I meant "before structs like BTPageOpaqueData,
earlier in the page and in the special area proper".
--
Peter Geoghegan
On Thu, 9 Jun 2022 at 23:13, Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Oct 7, 2021 at 11:50 AM Stephen Frost <sfrost@snowman.net> wrote:
Alternatively, we could use
that technique to just provide a better per-page checksum than what we
have today. Maybe we could figure out how to leverage that to move to
64bit transaction IDs with some page-level epoch.I'm interested in assessing the feasibility of a "better page-level
checksums" feature. I have a few questions, and a few observations.
One of my questions is what algorithm(s) we'd want to support. I did a
quick Google search and found that brtfs supports CRC-32C, XXHASH,
SHA256, and BLAKE2B. I don't know that we want to support that many
options (but maybe we do) and I don't think CRC-32C makes any sense
here, for two reasons. First, we've already got a 16-bit checksum, and
a 32-bit checksum doesn't seem like it's gaining enough to be worth
the implementation complexity. Second, we're probably going to have to
dole out per-page space in multiples of MAXALIGN, and that's usually
8.
Why so? We already dole out per-page space in 4-byte increments
through pd_linp, and I see no reason why we can't reserve some line
pointers for per-page metadata if we decide that we need extra
per-page ~overhead~ metadata.
I think for this purpose we should limit ourselves to algorithms
whose output size is, at minimum, 64 bits, and ideally, a multiple of
64 bits. I'm sure there are plenty of options other than the ones that
btrfs uses; I mentioned them only as a way of jump-starting the
discussion. Note that SHA-256 and BLAKE2B apparently emit enormously
wide 16 BYTE checksums. That's a lot of space to consume with a
checksum, but your chances of a collision are very small indeed.
Isn't the goal of a checksum to find - and where possible, correct -
bit flips and other broken pages? I would suggest not to use
cryptographic hash functions for that, as those are rarely
error-correcting.
Even if we only offer one new kind of checksum, making space for a
wider checksum makes the page format variable in a way that it
currently isn't. There seem to be about 50 compile-time constants in
the source code whose values are computed based on the block size and
amount of special space in use by some particular AM (yikes!).
Isn't that expected for most of those places? With the current
bufpage.h description of Page, it seems obvious that all bytes on a
page except those in the "hole" and those in the page header are under
full control of the AM. Of course AMs will pre-calculate limits and
offsets during compilation, that saves recalculation cycles and/or
cache lines with constants to keep in L1.
For
example, for the heap, there's stuff like MaxHeapTuplesPerPage and
MaxHeapTupleSize. If in the future we have some pages that are just
like the ones we have today, and other clusters where we've allowed
space for a checksum, then those constants become run-time variable.
And since they're used in some very low-level functions that are
called a lot, like PageGetHeapFreeSpace(), that seems potentially
problematic. The problem is multiplied if you also think about trying
to store an epoch on each heap page, as per Stephen's proposal above,
because now every page used by any AM whatsoever might or might not
have a checksum, and every heap page might also have or not have an
epoch XID. I think it's going to be somewhat tricky to figure out a
scheme here that avoids making things slow.
Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata in a double-buffered
format, so that both before the actual page is written the metadata
too is written to disk, while the old metadata is available too for
recovery purposes. This allows us to maintain the current format with
its low per-page overhead, and only have extra overhead (up to 2x
writes for each page, but the writes for these metadata pages need not
be BLCKSZ in size) for those that opt-in to the more computationally
expensive features of larger checksums, nonces, and/or other non-AM
per-page ~overhead~ metadata.
Originally I was thinking
that things like MaxHeapTuplesPerPage ought to become macros or static
inline functions, but now I have what I think is a better idea: make
them into global variables and initialize them with the appropriate
values for the cluster right after we read the control file. This
doesn't solve the problem if some pages are different than others,
though, and even for the case where every page in the cluster has the
same amount of reserved space, reading a global variable is not going
to be as efficient as referring to a constant compiled right into the
code. I'm hopeful that all of this is solvable somehow, but it's
hairy, for sure.Another thing I realized is that we would probably end up with the
pd_checksum unused when this other feature is activated. If someone
comes up with a clever idea for how to allocate extra space without
needing things to be a multiple of MAXIMUM_ALIGNOF, they could
potentially shrink the space they need elsewhere by 2 bytes and then
use both that space and pd_checksum, but otherwise pd_checksum is
likely to be dead when an enhanced checksum feature is in use. Since
it's also dead when checksums are turned off, that's probably OK. I
suppose another possibility is to allow both to be turned on and off
independently, i.e. let someone have both a Fletcher-16 checksum in
pd_checksum, and also a wider checksum in this other chunk of space,
but I'm not sure whether that's really a useful thing to be able to
do. (Opinions?)
I'd prefer if we didn't change the way pages are presented to AMs.
Currently, it is clear what area is available to you if you write an
AM that uses the bufpage APIs. Changing the page format to have the
buffer manager also touch / reserve space in the special areas seems
like a break of abstraction: Quoting from bufpage.h:
* AM-generic per-page information is kept in PageHeaderData.
*
* AM-specific per-page data (if any) is kept in the area marked "special
* space"; each AM has an "opaque" structure defined somewhere that is
* stored as the page trailer. an access method should always
* initialize its pages with PageInit and then set its own opaque
* fields.
I'd rather we keep this contract: am-generic stuff belongs in
PageHeaderData, with the rest of the page fully available for the AM
to use (including the special area).
Kind regards,
Matthias van de Meent
Hello Robert,
I think for this purpose we should limit ourselves to algorithms
whose output size is, at minimum, 64 bits, and ideally, a multiple of
64 bits. I'm sure there are plenty of options other than the ones that
btrfs uses; I mentioned them only as a way of jump-starting the
discussion. Note that SHA-256 and BLAKE2B apparently emit enormously
wide 16 BYTE checksums. That's a lot of space to consume with a
checksum, but your chances of a collision are very small indeed.
My 0.02€ about that:
You do not have to store the whole hash algorithm output, you can truncate
or reduce (eg by xoring parts) the size to what makes sense for your
application and security requirements. ISTM that 64 bits is more than
enough for a page checksum, whatever the underlying hash algorithm.
Also, ISTM that a checksum algorithm does not really need to be
cryptographically strong, which means that cheaper alternatives are ok,
although good quality should be sought nevertheless.
--
Fabien.
On Fri, Jun 10, 2022 at 5:00 AM Matthias van de Meent <
boekewurm+postgres@gmail.com> wrote:
Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata
+1 for this approach. I had observed some painful corruption cases where
block storage simply returned stale version of a rage of blocks. This is
only possible because checksum is stored on the page itself.
A special fork for checksums would allow us to better detect failures in
SSD firmawares, MMU SEUs etc, OS page cache, backup software and storage.
It may seems that these kind of stuff never happen. But probability of such
failure is drastically bigger than probability of hardware failure being
undetected due to CRC16 collision.
Also I'm skeptical about correcting detected errors with the information
from checksum. This approach requires very very large checksum. It's much
easier to obtain fresh block copy from HA standby.
Best regards, Andrey Borodin.
On Thu, Jun 9, 2022 at 5:34 PM Peter Geoghegan <pg@bowt.ie> wrote:
Why not? The only problems that it won't solve are all related to
crypto. Which is perfectly fine, but it seems like there is a
terminology issue here. ISTM that you're really talking about adding a
cryptographic hash function, not a checksum. These are rather
different things.
I don't think those are mutually exclusive categories. I shall cite
Wikipedia: "Cryptographic hash ... can also be used as ordinary hash
functions, to index data in hash tables, for fingerprinting, to detect
duplicate data or uniquely identify files, and as checksums to detect
accidental data corruption."[1]https://en.wikipedia.org/wiki/Cryptographic_hash_function There is also PostgreSQL precedent in
the form of the --manifest-checksums argument to pg_basebackup, whose
legal values are SHA{224,256,384,512}|CRC32C|NONE. The man page for
the "shasum" utility says that the purpose of the command is to "Print
or Check SHA Checksums".
I'm not perfectly attached to the idea of using SHA here, but it seems
to me that's pretty much the standard thing these days. Stephen Frost
and David Steele pushed hard for SHA checksums in backup manifests,
and actually wanted it to be the default.
I think that if you're the kind of person who looks at our existing
page checksums and finds them too weak, I doubt that CRC-32C is going
to make you feel any better. You're probably the sort of person who
thinks that checksums should have a lot of bits, and you're probably
not going to be satisfied with the properties of an algorithm invented
in the 1960s. Of course if there's anyone out there who thinks that
our existing 16-bit checksums are a pile of garbage but would be much
happier if CRC-32C is an option, I am happy to have them show up here
and say so, but I find it much more likely that people who want this
kind of feature would advocate for a more modern algorithm.
My preference is for an approach that builds on that, or at least
doesn't significantly complicate it. So a cryptographic hash or nonce
can go in the special area proper (structs like BTPageOpaqueData don't
need any changes), but at a page offset before the special area proper
-- not after.What disadvantages does that approach have, if any, from your point of view?
I think it would be an extremely good idea to store the extended
checksum at the same offset in every page. Right now, code that wants
to compute checksums, or a tool like pg_checksums that wants to verify
them, can find the checksum without needing to interpret any of the
remaining page contents. Things get sticky if you have to interpret
the page contents to locate the checksum that's going to tell you
whether the page contents are messed up. Perhaps this could be worked
around if you tried hard enough, but I don't see what we get out of
it. I don't think that putting the checksum at the very end of the
every page precludes using variable-size special space in the AMs, or
even complicates it much, because if there's a fixed-length block of
stuff at the end of every page, you can easily account for that.
There's a lot less code that cares about the space above pd_special
than there is code that cares about any other portion of the page.
--
Robert Haas
EDB: http://www.enterprisedb.com
[1]: https://en.wikipedia.org/wiki/Cryptographic_hash_function
On 10.06.22 15:16, Robert Haas wrote:
I'm not perfectly attached to the idea of using SHA here, but it seems
to me that's pretty much the standard thing these days. Stephen Frost
and David Steele pushed hard for SHA checksums in backup manifests,
and actually wanted it to be the default.
That seems like a reasonable use in that application, since you might
want to verify whether a backup has been (maliciously?) altered rather
than just accidentally bit flipped.
I think that if you're the kind of person who looks at our existing
page checksums and finds them too weak, I doubt that CRC-32C is going
to make you feel any better. You're probably the sort of person who
thinks that checksums should have a lot of bits, and you're probably
not going to be satisfied with the properties of an algorithm invented
in the 1960s. Of course if there's anyone out there who thinks that
our existing 16-bit checksums are a pile of garbage but would be much
happier if CRC-32C is an option, I am happy to have them show up here
and say so, but I find it much more likely that people who want this
kind of feature would advocate for a more modern algorithm.
I think there ought to be a bit more principled analysis here than just
"let's add a lot more bits". There is probably some kind of information
to be had about how many CRC bits are useful for a given block size, say.
And then there is the question of performance. When data checksum were
first added, there was a lot of concern about that. CRC is usually
baked directly into hardware, so it's about as cheap as we can hope for.
SHA not so much.
On Thu, Jun 9, 2022 at 8:00 PM Matthias van de Meent
<boekewurm+postgres@gmail.com> wrote:
Why so? We already dole out per-page space in 4-byte increments
through pd_linp, and I see no reason why we can't reserve some line
pointers for per-page metadata if we decide that we need extra
per-page ~overhead~ metadata.
Hmm, that's an interesting approach. I was thinking that putting data
after the PageHeaderData struct would be a non-starter because the
code that looks up a line pointer by index is currently just
multiply-and-add and complicating it seems bad for performance.
However, if we treated the space there as overlapping the line pointer
array and making some line pointers unusable rather than something
inserted prior to the line pointer array, we could avoid that. I still
think it would be kind of complicated, though, because we'd have to
find every bit of code that loops over the line pointer array or
accesses it by index and make sure that it doesn't try to access the
low-numbered line pointers.
Isn't the goal of a checksum to find - and where possible, correct -
bit flips and other broken pages? I would suggest not to use
cryptographic hash functions for that, as those are rarely
error-correcting.
I wasn't thinking of trying to do error correction, just error
detection. See also my earlier reply to Peter Geoghegan.
Isn't that expected for most of those places? With the current
bufpage.h description of Page, it seems obvious that all bytes on a
page except those in the "hole" and those in the page header are under
full control of the AM. Of course AMs will pre-calculate limits and
offsets during compilation, that saves recalculation cycles and/or
cache lines with constants to keep in L1.
Yep.
Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata in a double-buffered
format, so that both before the actual page is written the metadata
too is written to disk, while the old metadata is available too for
recovery purposes. This allows us to maintain the current format with
its low per-page overhead, and only have extra overhead (up to 2x
writes for each page, but the writes for these metadata pages need not
be BLCKSZ in size) for those that opt-in to the more computationally
expensive features of larger checksums, nonces, and/or other non-AM
per-page ~overhead~ metadata.
It's not impossible, I'm sure, but it doesn't seem very appealing to
me. Those extra reads and writes could be expensive, and there's no
place to cleanly integrate them into the code structure. A function
like PageIsVerified() -- which is where we currently validate
checksums -- only gets the page. It can't go off and read some other
page from disk to perform the checksum calculation.
I'm not exactly sure what you have in mind when you say that the
writes need not be BLCKSZ in size. Technically I guess that's true,
but then the checksums have to be crash safe, or they're not much
good. If they're not part of the page, how do they get updated in a
way that makes them crash safe? I guess it could be done: every time
we write a FPW, enlarge the page image by the number of bytes that are
stored in this location. When replaying an FPW, update those bytes
too. And every time we read or write a page, also read or write those
bytes. In essence, we'd be deciding that pages are 8192+n bytes, but
the last n bytes are stored in a different file - and, in memory, a
different buffer pool. I think that would be hugely invasive and
unpleasant to make work and I think the performance would be poor,
too.
I'd prefer if we didn't change the way pages are presented to AMs.
Currently, it is clear what area is available to you if you write an
AM that uses the bufpage APIs. Changing the page format to have the
buffer manager also touch / reserve space in the special areas seems
like a break of abstraction: Quoting from bufpage.h:* AM-generic per-page information is kept in PageHeaderData.
*
* AM-specific per-page data (if any) is kept in the area marked "special
* space"; each AM has an "opaque" structure defined somewhere that is
* stored as the page trailer. an access method should always
* initialize its pages with PageInit and then set its own opaque
* fields.I'd rather we keep this contract: am-generic stuff belongs in
PageHeaderData, with the rest of the page fully available for the AM
to use (including the special area).
I don't think that changing the contract has to mean that it becomes
unclear what the contract is. And you can't improve any system without
changing some stuff. But you certainly don't have to like my ideas or
anything....
--
Robert Haas
EDB: http://www.enterprisedb.com
On Fri, Jun 10, 2022 at 9:36 AM Peter Eisentraut
<peter.eisentraut@enterprisedb.com> wrote:
I think there ought to be a bit more principled analysis here than just
"let's add a lot more bits". There is probably some kind of information
to be had about how many CRC bits are useful for a given block size, say.And then there is the question of performance. When data checksum were
first added, there was a lot of concern about that. CRC is usually
baked directly into hardware, so it's about as cheap as we can hope for.
SHA not so much.
That's all pretty fair. I have to admit that SHA checksums sound quite
expensive, and also that I'm no expert on what kinds of checksums
would be best for this sort of application. Based on the earlier
discussions around TDE, I do think that people want tamper-resistant
checksums here too -- like maybe something where you can't recompute
the checksum without access to some secret. I could propose naive ways
to do that, like prepending a fixed chunk of secret bytes to the
beginning of every block and then running SHA512 or something over the
result, but I'm sure that people with actual knowledge of cryptography
have developed much better and more robust ways of doing this sort of
thing.
I've really been devoting most of my mental energy here to
understanding what problems there are at the PostgreSQL level - i.e.
when we carve out bytes for a wider checksum, what breaks? The only
research that I did to try to understand what algorithms might make
sense was a quick Google search, which led me to the list of
algorithms that btrfs uses. I figured that was a good starting point
because, like a filesystem, we're encrypting fixed-size blocks of
data. However, I didn't intend to present the results of that quick
look as the definitive answer to the question of what might make sense
for PostgreSQL, and would be interested in hearing what you or anyone
else thinks about that.
--
Robert Haas
EDB: http://www.enterprisedb.com
Greetings,
* Robert Haas (robertmhaas@gmail.com) wrote:
On Fri, Jun 10, 2022 at 9:36 AM Peter Eisentraut
<peter.eisentraut@enterprisedb.com> wrote:I think there ought to be a bit more principled analysis here than just
"let's add a lot more bits". There is probably some kind of information
to be had about how many CRC bits are useful for a given block size, say.And then there is the question of performance. When data checksum were
first added, there was a lot of concern about that. CRC is usually
baked directly into hardware, so it's about as cheap as we can hope for.
SHA not so much.That's all pretty fair. I have to admit that SHA checksums sound quite
expensive, and also that I'm no expert on what kinds of checksums
would be best for this sort of application. Based on the earlier
discussions around TDE, I do think that people want tamper-resistant
checksums here too -- like maybe something where you can't recompute
the checksum without access to some secret. I could propose naive ways
to do that, like prepending a fixed chunk of secret bytes to the
beginning of every block and then running SHA512 or something over the
result, but I'm sure that people with actual knowledge of cryptography
have developed much better and more robust ways of doing this sort of
thing.
So, it's not quite as simple as use X or use Y, we need to be
considering the use case too. In particular, the amount of data that's
being hash'd is relevant when it comes to making a decision about what
hash or checksum to use. When you're talking about (potentially) 1G
segment files, you'll want to use something different (like SHA) vs.
when you're talking about an 8K block (not that you couldn't use SHA,
but it may very well be overkill for it).
In terms of TDE, that's yet a different use-case and you'd want to use
AE (authenticated encryption) + AAD (additional authenticated data) and
the result of that operation is a block which has some amount of
unencrypted data (eg: LSN, potentially used as the IV), some amount of
encrypted data (eg: everything else), and then space to store the tag
(which can be thought of, but is *distinct* from, a hash of the
encrypted data + the additional unencrypted data, where the latter would
include the unencrypted data on the block, like the LSN, plus other
information that we want to include like the qualified path+filename of
the file as relevant to the PGDATA root). If our goal is
cryptographiclly authenticated and encrypted data pages (which I believe
is at least one of our goals) then we're talking about encryption
methods like AES GCM which handle production of the tag for us and with
that tag we would *not* need to have any independent hash or checksum for
the block (though we could, but that should really be included in the
*encrypted* section, as hashing unencrypted data and then storing that
hash unencrypted could potentially leak information that we'd rather
not).
Note that NIST has put out information regarding how big a tag is
appropriate for how much data is being encrypted with a given
authenticated encryption method such as AES GCM. I recall Robert
finding similar information for hashing/checksumming of unencrypted
data from a similar source and that'd make sense to consider when
talking about *just* adding a hash/checksum for unencrypted data blocks.
This is the relevant discussion from NIST on this subject:
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-38d.pdf
Note particularly Appendix C: Requirements and Guidelines for Using
Short Tags (though, really, the whole thing is good to read..).
I've really been devoting most of my mental energy here to
understanding what problems there are at the PostgreSQL level - i.e.
when we carve out bytes for a wider checksum, what breaks? The only
research that I did to try to understand what algorithms might make
sense was a quick Google search, which led me to the list of
algorithms that btrfs uses. I figured that was a good starting point
because, like a filesystem, we're encrypting fixed-size blocks of
data. However, I didn't intend to present the results of that quick
look as the definitive answer to the question of what might make sense
for PostgreSQL, and would be interested in hearing what you or anyone
else thinks about that.
In the thread about checksum/hashes for the backup manifest, I was
pretty sure you found some information regarding the amount of data
being hashed vs. the size you want the hash/checksum to be and that
seems like it'd be particularly relevant for this discussion (as it was
for backups, at least as I recall..). Hopefully we can go find that.
Thanks,
Stephen
Greetings,
* Andrey Borodin (x4m@double.cloud) wrote:
On Fri, Jun 10, 2022 at 5:00 AM Matthias van de Meent <
boekewurm+postgres@gmail.com> wrote:Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata+1 for this approach. I had observed some painful corruption cases where
block storage simply returned stale version of a rage of blocks. This is
only possible because checksum is stored on the page itself.
A special fork for checksums would allow us to better detect failures in
SSD firmawares, MMU SEUs etc, OS page cache, backup software and storage.
It may seems that these kind of stuff never happen. But probability of such
failure is drastically bigger than probability of hardware failure being
undetected due to CRC16 collision.
This is another possible approach, sure, but it has its own downsides:
clearly more IO ends up being involved and then you also have to deal
with the fact that the fork's page would certainly end up covering a lot
of the pages in the main relation, not to mention the question of what
to do when we want to get checksums *on forks*, which we surely will
want to have...
Also I'm skeptical about correcting detected errors with the information
from checksum. This approach requires very very large checksum. It's much
easier to obtain fresh block copy from HA standby.
Yeah, error correcting checksums are yet another use-case and one that
would require a lot more space.
Thanks,
Stephen
Greetings,
* Fabien COELHO (coelho@cri.ensmp.fr) wrote:
I think for this purpose we should limit ourselves to algorithms
whose output size is, at minimum, 64 bits, and ideally, a multiple of
64 bits. I'm sure there are plenty of options other than the ones that
btrfs uses; I mentioned them only as a way of jump-starting the
discussion. Note that SHA-256 and BLAKE2B apparently emit enormously
wide 16 BYTE checksums. That's a lot of space to consume with a
checksum, but your chances of a collision are very small indeed.My 0.02€ about that:
You do not have to store the whole hash algorithm output, you can truncate
or reduce (eg by xoring parts) the size to what makes sense for your
application and security requirements. ISTM that 64 bits is more than enough
for a page checksum, whatever the underlying hash algorithm.
Agreed on this- but we shouldn't be guessing at what the correct answers
are here, there's published information from standards bodies about this
sort of thing.
Also, ISTM that a checksum algorithm does not really need to be
cryptographically strong, which means that cheaper alternatives are ok,
although good quality should be sought nevertheless.
Right, if we aren't doing encryption then we just need to focus on what
is needed for the amount of error detection that we want and we can go
look at how much space we need when we're talking about 8K or so worth
of data. When we *are* doing encryption, what's interesting is the tag
length and that's a different thing which has its own published
information from standards bodies about and we should be looking at
that. While the general "need X amount of space on the page to store
the hash/authentication data" problem is the same, the answer to "how
much space is needed" will depend on which use case the user requested
(well ... probably anyway, maybe we'll get lucky and find that there's a
reasonable answer to both which fits in the same amount of space and
could possibly leverage that, but let's not try to force that to happen
as we'll surely get called out if we go against the guideance from the
standards bodies who study this stuff).
Thanks,
Stephen
On Fri, Jun 10, 2022 at 12:08 PM Stephen Frost <sfrost@snowman.net> wrote:
So, it's not quite as simple as use X or use Y, we need to be
considering the use case too. In particular, the amount of data that's
being hash'd is relevant when it comes to making a decision about what
hash or checksum to use. When you're talking about (potentially) 1G
segment files, you'll want to use something different (like SHA) vs.
when you're talking about an 8K block (not that you couldn't use SHA,
but it may very well be overkill for it).
Interesting. I expected you to be cheerleading for SHA like a madman.
In terms of TDE, that's yet a different use-case and you'd want to use
AE (authenticated encryption) + AAD (additional authenticated data) and
the result of that operation is a block which has some amount of
unencrypted data (eg: LSN, potentially used as the IV), some amount of
encrypted data (eg: everything else), and then space to store the tag
(which can be thought of, but is *distinct* from, a hash of the
encrypted data + the additional unencrypted data, where the latter would
include the unencrypted data on the block, like the LSN, plus other
information that we want to include like the qualified path+filename of
the file as relevant to the PGDATA root). If our goal is
cryptographiclly authenticated and encrypted data pages (which I believe
is at least one of our goals) then we're talking about encryption
methods like AES GCM which handle production of the tag for us and with
that tag we would *not* need to have any independent hash or checksum for
the block (though we could, but that should really be included in the
*encrypted* section, as hashing unencrypted data and then storing that
hash unencrypted could potentially leak information that we'd rather
not).
Yeah, and I feel there was discussion of how much space AES-GCM-SIV
would need per page and I can't find that discussion now. Pretty sure
it was a pretty meaty number of bytes, and I assume it's also not that
cheap to compute.
Note that NIST has put out information regarding how big a tag is
appropriate for how much data is being encrypted with a given
authenticated encryption method such as AES GCM. I recall Robert
finding similar information for hashing/checksumming of unencrypted
data from a similar source and that'd make sense to consider when
talking about *just* adding a hash/checksum for unencrypted data blocks.This is the relevant discussion from NIST on this subject:
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-38d.pdf
Note particularly Appendix C: Requirements and Guidelines for Using
Short Tags (though, really, the whole thing is good to read..).
I don't see that as very relevant. That's talking about using 32-bit
or 64-bit tags for things like VOIP packets where a single compromised
packet wouldn't reveal a whole lot. I think we have to take the view
that a single compromised disk block is a big deal.
In the thread about checksum/hashes for the backup manifest, I was
pretty sure you found some information regarding the amount of data
being hashed vs. the size you want the hash/checksum to be and that
seems like it'd be particularly relevant for this discussion (as it was
for backups, at least as I recall..). Hopefully we can go find that.
I went back and looked and found that I had written this:
/messages/by-id/CA+TgmoYOKC_8o-AR1jTQs0mOrFx=_Rcy5udor1m-LjyJNiSWPQ@mail.gmail.com
I think that gets us a whole lot of nowhere, honestly. I think this
email from Andres is more on point:
/messages/by-id/20200327195624.xthhd4xuwabvd3ou@alap3.anarazel.de
I don't really understand all the details of the smhasher pages to
which he links, but I understand that they're measuring the quality of
the bit-mixing, which does matter. So does speed, because people like
their database to be fast even if it's using checksums (or TDE if we
had that). And I think the output size is also a relevant
consideration, because more output bits means both more chance of
detecting errors (assuming good bit-mixing, at least) and also more
wasted space that isn't being used to store your actual data.
I haven't really seen anything that makes me believe that there's a
particularly strong relationship between block size and ideal checksum
size. There's some relationship, for sure. For instance, you want the
checksum to be small relative to the size of the input, so as not to
waste a whole bunch of storage space. I wouldn't propose to hash 32
byte blocks with SHA-256, because my checksums would be as big as the
original data. But I don't really think such considerations are
relevant here. An 8kB block is big enough that any checksum algorithm
in common use today is going to produce output that is well under 1%
of the page size, so you're not going to be wasting tons of storage.
You might be wasting your time, though. One big knock on the
Fletcher-16 approach we're using today is that the chance of a chance
hash collision is pretty noticeably more than 0. Generally, I think
we're right to think that's acceptable, because your chances of
noticing even a single corrupted block are very high. However, if
you're operating tens or hundreds of thousands of PostgreSQL clusters
containing terabytes or petabytes of data, it's quite likely that
there will be instances of corruption which you fail to detect because
the checksum collided. Maybe you care about that. If you do, you
probably need at least a 64-bit checksum before the risk of missing
even a single instance of corruption due to a checksum collision
becomes negligible. Maybe even slightly larger if the amount of data
you're managing is truly vast.
So I think there's probably a good argument that if you're just
concerned about detecting corruption due to bugs, operator error,
hardware failure, etc., something like a 512-bit checksum is overkill
if the only purpose is to detect random bit flips. I think the time
when you need more bits is when you have some goal beyond being really
likely to detect a random error - e.g. if you want 100% guaranteed
detection of every single-bit error, or if you want error correction,
or if you want to foil an adversary who is trying to construct
checksums for maliciously modified blocks. But that is also true for
the backup manifest case, and we allowed SHA-n as an option there. I
feel like there are bound to be some people who want something like
SHA-n just because it sounds good, regardless of whether they really
need it.
We can tell them "no," though.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi hackers,
Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata+1 for this approach. I had observed some painful corruption cases where block storage simply returned stale version of a rage of blocks. This is only possible because checksum is stored on the page itself.
That's very interesting, Andrey. Thanks for sharing.
One of my questions is what algorithm(s) we'd want to support.
Should it necessarily be a fixed list? Why not support plugable algorithms?
An extension implementing a checksum algorithm is going to need:
- several hooks: check_page_after_reading, calc_checksum_before_writing
- register_checksum()/deregister_checksum()
- an API to save the checksums to a seperate fork
By knowing the block number and the hash size the extension knows
exactly where to look for the checksum in the fork.
--
Best regards,
Aleksander Alekseev
On Mon, Jun 13, 2022 at 9:23 AM Aleksander Alekseev
<aleksander@timescale.com> wrote:
Should it necessarily be a fixed list? Why not support plugable algorithms?
An extension implementing a checksum algorithm is going to need:
- several hooks: check_page_after_reading, calc_checksum_before_writing
- register_checksum()/deregister_checksum()
- an API to save the checksums to a seperate forkBy knowing the block number and the hash size the extension knows
exactly where to look for the checksum in the fork.
I don't think that a separate fork is a good option for reasons that I
articulated previously: I think it will be significantly more complex
to implement and add extra I/O.
I am not completely opposed to the idea of making the algorithm
pluggable but I'm not very excited about it either. Making the
algorithm pluggable probably wouldn't be super-hard, but allowing a
checksum of arbitrary size rather than one of a short list of fixed
sizes might complicate efforts to ensure this doesn't degrade
performance. And I'm not sure what the benefit is, either. This isn't
like archive modules or custom backup targets where the feature
proposes to interact with things outside the server and we don't know
what's happening on the other side and so need to offer an interface
that can accommodate what the user wants to do. Nor is it like a
custom background worker or a custom data type which lives fully
inside the database but the desired behavior could be anything. It's
not even like column compression where I think that the same small set
of strategies are probably fine for everybody but some people think
that customizing the behavior by datatype would be a good idea. All
it's doing is taking a fixed size block of data and checksumming it. I
don't see that as being something where there's a lot of interesting
things to experiment with from an extension point of view.
--
Robert Haas
EDB: http://www.enterprisedb.com
Hi Robert,
I don't think that a separate fork is a good option for reasons that I
articulated previously: I think it will be significantly more complex
to implement and add extra I/O.I am not completely opposed to the idea of making the algorithm
pluggable but I'm not very excited about it either. Making the
algorithm pluggable probably wouldn't be super-hard, but allowing a
checksum of arbitrary size rather than one of a short list of fixed
sizes might complicate efforts to ensure this doesn't degrade
performance. And I'm not sure what the benefit is, either. This isn't
like archive modules or custom backup targets where the feature
proposes to interact with things outside the server and we don't know
what's happening on the other side and so need to offer an interface
that can accommodate what the user wants to do. Nor is it like a
custom background worker or a custom data type which lives fully
inside the database but the desired behavior could be anything. It's
not even like column compression where I think that the same small set
of strategies are probably fine for everybody but some people think
that customizing the behavior by datatype would be a good idea. All
it's doing is taking a fixed size block of data and checksumming it. I
don't see that as being something where there's a lot of interesting
things to experiment with from an extension point of view.
I see your point. Makes sense.
So, to clarify, what we are trying to achieve here is to reduce the
probability of an event when a page gets corrupted but the checksum is
accidentally the same as it was before the corruption, correct? And we
also assume that neither file system nor hardware catched this
corruption.
If that's the case I would say that using something like SHA256 would
be an overkill, not only because of the consumed disk space but also
because SHA256 is expensive. Allowing the user to choose from 16-bit,
32-bit and maybe 64-bit checksums should be enough. I would also
suggest that no matter how we do it, if the user chooses 16-bit
checksums the performance and the disk consumption should remain as
they currently are.
Regarding the particular choice of a hash function I would suggest the
MurmurHash family [1]https://en.wikipedia.org/wiki/MurmurHash. This is basically the industry standard (it's
good, it's fast, and relatively simple), and we already have
murmurhash32() in the core. We also have hash_bytes_extended() to get
64-bit checksums, but I have no strong opinion on whether this
particular hash function should be used for pages or not. I believe
some benchmarking is appropriate.
There is also a 128-bit version of MurmurHash. Personally I doubt that
it may be of value in practice, but it will not hurt to support it
either, while we are at it. (Probably not in the MVP, though). And if
we are going to choose this path, I see no reason not to support
SHA256 as well, for the paranoid users.
[1]: https://en.wikipedia.org/wiki/MurmurHash
--
Best regards,
Aleksander Alekseev
On Mon, Jun 13, 2022 at 12:59 PM Aleksander Alekseev
<aleksander@timescale.com> wrote:
So, to clarify, what we are trying to achieve here is to reduce the
probability of an event when a page gets corrupted but the checksum is
accidentally the same as it was before the corruption, correct? And we
also assume that neither file system nor hardware catched this
corruption.
Yeah, I think so, although it also depends on what the filesystem and
the hardware would do if they did catch the corruption. If they would
have made our read() or write() operation fail, then any checksum
feature at the PostgreSQL level is superfluous. If they would have
noticed the operation but not caused a failure, and say just logged
something in the system log, a PostgreSQL check could still be useful,
because the PostgreSQL user might not be looking at the system log,
but will definitely notice if they get an ERROR rather than a query
result from PostgreSQL. And if the lower-level systems wouldn't have
caught the failure at all, then checksums are useful in that case,
too.
If that's the case I would say that using something like SHA256 would
be an overkill, not only because of the consumed disk space but also
because SHA256 is expensive. Allowing the user to choose from 16-bit,
32-bit and maybe 64-bit checksums should be enough. I would also
suggest that no matter how we do it, if the user chooses 16-bit
checksums the performance and the disk consumption should remain as
they currently are.
If the user wants 16-bit checksums, the feature we've already got
seems good enough -- and, as you say, it doesn't use any extra disk
space. This proposal is just about making people happy if they want a
bigger checksum.
On the topic of which algorithm to use, I'd be inclined to think that
it is going to be more useful to offer checksums that are 64 bits or
more, since IMHO 32 is not all that much more than 16, and I still
think there are going to be alignment issues. Beyond that I don't have
anything against your specific suggestions, but I'd like to hear what
other people think.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Fri, 10 Jun 2022 at 15:58, Robert Haas <robertmhaas@gmail.com> wrote:
On Thu, Jun 9, 2022 at 8:00 PM Matthias van de Meent
<boekewurm+postgres@gmail.com> wrote:Why so? We already dole out per-page space in 4-byte increments
through pd_linp, and I see no reason why we can't reserve some line
pointers for per-page metadata if we decide that we need extra
per-page ~overhead~ metadata.Hmm, that's an interesting approach. I was thinking that putting data
after the PageHeaderData struct would be a non-starter because the
code that looks up a line pointer by index is currently just
multiply-and-add and complicating it seems bad for performance.
However, if we treated the space there as overlapping the line pointer
array and making some line pointers unusable rather than something
inserted prior to the line pointer array, we could avoid that. I still
think it would be kind of complicated, though, because we'd have to
find every bit of code that loops over the line pointer array or
accesses it by index and make sure that it doesn't try to access the
low-numbered line pointers.Isn't the goal of a checksum to find - and where possible, correct -
bit flips and other broken pages? I would suggest not to use
cryptographic hash functions for that, as those are rarely
error-correcting.I wasn't thinking of trying to do error correction, just error
detection. See also my earlier reply to Peter Geoghegan.
The use of CRC in our current page format implies that we can correct
(some) bit errors, which is why I presumed that that was a goal of
page checksums. I stand corrected.
Isn't that expected for most of those places? With the current
bufpage.h description of Page, it seems obvious that all bytes on a
page except those in the "hole" and those in the page header are under
full control of the AM. Of course AMs will pre-calculate limits and
offsets during compilation, that saves recalculation cycles and/or
cache lines with constants to keep in L1.Yep.
Can't we add some extra fork that stores this extra per-page
information, and contains this extra metadata in a double-buffered
format, so that both before the actual page is written the metadata
too is written to disk, while the old metadata is available too for
recovery purposes. This allows us to maintain the current format with
its low per-page overhead, and only have extra overhead (up to 2x
writes for each page, but the writes for these metadata pages need not
be BLCKSZ in size) for those that opt-in to the more computationally
expensive features of larger checksums, nonces, and/or other non-AM
per-page ~overhead~ metadata.It's not impossible, I'm sure, but it doesn't seem very appealing to
me. Those extra reads and writes could be expensive, and there's no
place to cleanly integrate them into the code structure. A function
like PageIsVerified() -- which is where we currently validate
checksums -- only gets the page. It can't go off and read some other
page from disk to perform the checksum calculation.
It could be part of the buffer IO code to provide
PageIsVerifiedExtended with a pointer to the block metadata buffer.
I'm not exactly sure what you have in mind when you say that the
writes need not be BLCKSZ in size.
What I meant was that when the extra metadata is stored seperately
from the block itself, it could be written directly to the file offset
instead of having to track BLCKSZ data for N blocks, so the
metadata-write would be << BLCKSZ in length, while the block itself
would still be the normal BLCKSZ write.
Technically I guess that's true,
but then the checksums have to be crash safe, or they're not much
good. If they're not part of the page, how do they get updated in a
way that makes them crash safe? I guess it could be done: every time
we write a FPW, enlarge the page image by the number of bytes that are
stored in this location. When replaying an FPW, update those bytes
too. And every time we read or write a page, also read or write those
bytes. In essence, we'd be deciding that pages are 8192+n bytes, but
the last n bytes are stored in a different file - and, in memory, a
different buffer pool. I think that would be hugely invasive and
unpleasant to make work and I think the performance would be poor,
too.
I agree that this wouldn't be as performant from a R/W perspective as
keeping that metadata inside the block. But on the other hand, that is
only for block R/W operations, and not for in-memory block
manipulations.
I'd prefer if we didn't change the way pages are presented to AMs.
Currently, it is clear what area is available to you if you write an
AM that uses the bufpage APIs. Changing the page format to have the
buffer manager also touch / reserve space in the special areas seems
like a break of abstraction: Quoting from bufpage.h:* AM-generic per-page information is kept in PageHeaderData.
*
* AM-specific per-page data (if any) is kept in the area marked "special
* space"; each AM has an "opaque" structure defined somewhere that is
* stored as the page trailer. an access method should always
* initialize its pages with PageInit and then set its own opaque
* fields.I'd rather we keep this contract: am-generic stuff belongs in
PageHeaderData, with the rest of the page fully available for the AM
to use (including the special area).I don't think that changing the contract has to mean that it becomes
unclear what the contract is. And you can't improve any system without
changing some stuff. But you certainly don't have to like my ideas or
anything....
It's not that I disagree with (or dislike the idea of) increasing the
resilience of checksums, I just want to be very careful that we don't
trade (potentially significant) runtime performance for features
people might not use. This thread seems very related to the 'storing
an explicit nonce'-thread, which also wants to reclaim space from a
page that is currently used by AMs, while AMs would lose access to
certain information on pages and certain optimizations that they could
do before. I'm very hesitant to let just any modification to the page
format go through because someone needs extra metadata attached to a
page.
That reminds me, there's one more item to be put on the compatibility
checklist: Currently, the FSM code assumes it can use all space on a
page (except the page header) for its total of 3 levels of FSM data.
Mixing page formats would break how it currently works, as changing
the space that is available on a page will change the fanout level of
each leaf in the tree, which our current code can't handle. To change
the page format of one page in the FSM would thus either require a
rewrite of the whole FSM fork, or extra metadata attached to the
relation that details where the format changes. A similar issue exists
with the VM fork.
That being said, I think that it could be possible to reuse
pd_checksum as an extra area indicator between pd_upper and
pd_special, so that we'd get [pageheader][pd_linp...] pd_lower [hole]
pd_upper [datas] pd_storage_ext [blackbox] pd_special [special area].
This should require limited rework in current AMs, especially if we
provide a global MAX_STORAGE_EXT_SIZE that AMs can use to get some
upper limit on how much overhead the storage uses per page.
Alternatively, we could claim some space on a page using a special
line pointer at the start of the page referring to storage data, while
having the same limitation on size.
One last option is we recognise that there are two storage locations
of pages that have different data requirements -- on-disk that
requires checksums, and in-memory that requires LSNs. Currently, those
fields are both stored on the page in distinct fields, but we could
(_could_) update the code to drop LSN when we store the page, and drop
the checksum when we load the page (at the cost of redo speed when
recovering from an unclean shutdown). That would provide an extra 64
bits on the page without breaking storage, assuming AMs don't already
misuse pd_lsn.
- Matthias
On Fri, Jun 10, 2022 at 6:16 AM Robert Haas <robertmhaas@gmail.com> wrote:
My preference is for an approach that builds on that, or at least
doesn't significantly complicate it. So a cryptographic hash or nonce
can go in the special area proper (structs like BTPageOpaqueData don't
need any changes), but at a page offset before the special area proper
-- not after.What disadvantages does that approach have, if any, from your point of view?
I think it would be an extremely good idea to store the extended
checksum at the same offset in every page. Right now, code that wants
to compute checksums, or a tool like pg_checksums that wants to verify
them, can find the checksum without needing to interpret any of the
remaining page contents. Things get sticky if you have to interpret
the page contents to locate the checksum that's going to tell you
whether the page contents are messed up. Perhaps this could be worked
around if you tried hard enough, but I don't see what we get out of
it.
Is that the how block-level encryption feature from EDB Advanced Server does it?
--
Peter Geoghegan
On Mon, Jun 13, 2022 at 02:44:41PM -0700, Peter Geoghegan wrote:
On Fri, Jun 10, 2022 at 6:16 AM Robert Haas <robertmhaas@gmail.com> wrote:
My preference is for an approach that builds on that, or at least
doesn't significantly complicate it. So a cryptographic hash or nonce
can go in the special area proper (structs like BTPageOpaqueData don't
need any changes), but at a page offset before the special area proper
-- not after.What disadvantages does that approach have, if any, from your point of view?
I think it would be an extremely good idea to store the extended
checksum at the same offset in every page. Right now, code that wants
to compute checksums, or a tool like pg_checksums that wants to verify
them, can find the checksum without needing to interpret any of the
remaining page contents. Things get sticky if you have to interpret
the page contents to locate the checksum that's going to tell you
whether the page contents are messed up. Perhaps this could be worked
around if you tried hard enough, but I don't see what we get out of
it.Is that the how block-level encryption feature from EDB Advanced Server does it?
Uh, EDB Advanced Server doesn't have a block-level encryption feature.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
Indecision is a decision. Inaction is an action. Mark Batterson
On Mon, Jun 13, 2022 at 2:54 PM Bruce Momjian <bruce@momjian.us> wrote:
On Mon, Jun 13, 2022 at 02:44:41PM -0700, Peter Geoghegan wrote:
Is that the how block-level encryption feature from EDB Advanced Server does it?
Uh, EDB Advanced Server doesn't have a block-level encryption feature.
Apparently there is something called "Vormetric Transparent Encryption
(VTE) – Transparent block-level encryption with access controls":
Perhaps there is some kind of confusion around the terminology here?
--
Peter Geoghegan
On Mon, Jun 13, 2022 at 03:03:17PM -0700, Peter Geoghegan wrote:
On Mon, Jun 13, 2022 at 2:54 PM Bruce Momjian <bruce@momjian.us> wrote:
On Mon, Jun 13, 2022 at 02:44:41PM -0700, Peter Geoghegan wrote:
Is that the how block-level encryption feature from EDB Advanced Server does it?
Uh, EDB Advanced Server doesn't have a block-level encryption feature.
Apparently there is something called "Vormetric Transparent Encryption
(VTE) – Transparent block-level encryption with access controls":Perhaps there is some kind of confusion around the terminology here?
That is encryption done in a virtual file system independent of
Postgres. So, I guess the answer to your question is that this is not
how EDB Advanced Server does it.
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
Indecision is a decision. Inaction is an action. Mark Batterson
On Mon, Jun 13, 2022 at 3:06 PM Bruce Momjian <bruce@momjian.us> wrote:
That is encryption done in a virtual file system independent of
Postgres. So, I guess the answer to your question is that this is not
how EDB Advanced Server does it.
Okay, thanks for clearing that up. The term "block based" does appear
in the article I linked to, so you can see why I didn't understand it
that way initially.
Anyway, I can see how it would be useful to be able to know the offset
of a nonce or of a hash digest on any given page, without access to a
running server. But why shouldn't that be possible with other designs,
including designs closer to what I've outlined?
A known fixed offset in the special area already assumes that all
pages must have a value in the first place, even though that won't be
true for the majority of individual Postgres servers. There is
implicit information involved in a design like the one Robert has
proposed; your backup tool (or whatever) already has to understand to
expect something other than no encryption at all, or no checksum at
all. Tools like pg_filedump already rely on implicit information about
the special area.
I'm not against the idea of picking a handful of checksum/encryption
schemes, with the understanding that we'll be committing to those
particular schemes indefinitely -- it's not reasonable to expect
infinite flexibility here (and so I don't). But why should we accept
something that seems to me to be totally inflexible, and doesn't
compose with other things?
--
Peter Geoghegan
On Mon, Jun 13, 2022 at 5:14 PM Matthias van de Meent
<boekewurm+postgres@gmail.com> wrote:
It's not that I disagree with (or dislike the idea of) increasing the
resilience of checksums, I just want to be very careful that we don't
trade (potentially significant) runtime performance for features
people might not use. This thread seems very related to the 'storing
an explicit nonce'-thread, which also wants to reclaim space from a
page that is currently used by AMs, while AMs would lose access to
certain information on pages and certain optimizations that they could
do before. I'm very hesitant to let just any modification to the page
format go through because someone needs extra metadata attached to a
page.
Right. So, to be clear, I think there is an opportunity to store ONE
extra blob of data in the page. It might be an extended checksum, or
it might be a nonce for cryptographic authentication, but it can't be
both. I think this is OK, because in earlier discussions of TDE, it
seems that if you're using encryption and also want to verify page
integrity, you'll use an encryption system that produces some kind of
verifier, and you'll store that into this space in the page instead of
using an enhanced-checksum feature.
In other words, I'm imagining creating a space at the end of each page
for some sort of enhanced security or data integrity feature, and you
can either choose not to use one (in which case things work as they do
today), or you can choose an extended checksums feature, or maybe in
the future you can choose some form of TDE that involves storing a
nonce or a page verifier in the page. But you just get one.
Now, the logical question to ask is: well, if there's only one
opportunity to store an extra blob of data on every page, is this the
best way to use it? What if someone comes along with another feature
that also wants to store a blob of data on every page, and they can't
do it because this proposal got there first? My answer is: well, if
that additional feature is something that provides encryption or
tamper-resistance or data integrity or security in any form, then it
can just be added as a new option for how you use this blob of space,
and users who prefer the new thing to the existing options can pick
it. If it's something else, then .... what is it, exactly? It seems to
me that the kinds of things that require space in *every* page of the
cluster are really the things that fall into this category.
For example, Stephen mused earlier that maybe while we're at it we
could find a way to include an XID epoch in every page. Maybe so, but
we wouldn't actually want that in *every* page. We would only want it
in the heap pages. And as far as I can see that's pretty generally how
things go. There are plenty of projects that might want extra space in
each page *for a certain AM* and I don't see any reason why what I
propose to do here would rule that out. I think this and that could
both be done, and doing this might even make doing that easier by
putting in place some useful infrastructure. What I don't think we can
get away with is having multiple systems that are each taking a bite
out of every page for every AM -- but I think that's OK, because I
don't think there's a lot of need for multiple such systems.
That reminds me, there's one more item to be put on the compatibility
checklist: Currently, the FSM code assumes it can use all space on a
page (except the page header) for its total of 3 levels of FSM data.
Mixing page formats would break how it currently works, as changing
the space that is available on a page will change the fanout level of
each leaf in the tree, which our current code can't handle. To change
the page format of one page in the FSM would thus either require a
rewrite of the whole FSM fork, or extra metadata attached to the
relation that details where the format changes. A similar issue exists
with the VM fork.
I agree with all of this except I think that "mixing page formats" is
a thing we can't do.
That being said, I think that it could be possible to reuse
pd_checksum as an extra area indicator between pd_upper and
pd_special, so that we'd get [pageheader][pd_linp...] pd_lower [hole]
pd_upper [datas] pd_storage_ext [blackbox] pd_special [special area].
This should require limited rework in current AMs, especially if we
provide a global MAX_STORAGE_EXT_SIZE that AMs can use to get some
upper limit on how much overhead the storage uses per page.
This is an interesting alternative. It's unclear to me that it makes
anything better if the [blackbox] area is before the special area vs.
afterward. And either way, if that area is fixed-size across the
cluster, you don't really need to use pd_checksum to find it, because
you can just know where it is. A possible advantage of this approach
is that it might make it simpler to cope with a scenario where some
pages in the cluster have this blackbox space and others don't. I
wasn't really thinking that on-line page format conversions were
likely to be practical, but certainly the chances are better if we've
got an explicit pointer to the extra space vs. just knowing where it
has to be.
Alternatively, we could claim some space on a page using a special
line pointer at the start of the page referring to storage data, while
having the same limitation on size.
That sounds messy.
One last option is we recognise that there are two storage locations
of pages that have different data requirements -- on-disk that
requires checksums, and in-memory that requires LSNs. Currently, those
fields are both stored on the page in distinct fields, but we could
(_could_) update the code to drop LSN when we store the page, and drop
the checksum when we load the page (at the cost of redo speed when
recovering from an unclean shutdown). That would provide an extra 64
bits on the page without breaking storage, assuming AMs don't already
misuse pd_lsn.
It seems wrong to me to say that we don't need the LSN for a page
stored on disk. Recovery relies on it.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, 14 Jun 2022 at 14:56, Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Jun 13, 2022 at 5:14 PM Matthias van de Meent
<boekewurm+postgres@gmail.com> wrote:It's not that I disagree with (or dislike the idea of) increasing the
resilience of checksums, I just want to be very careful that we don't
trade (potentially significant) runtime performance for features
people might not use. This thread seems very related to the 'storing
an explicit nonce'-thread, which also wants to reclaim space from a
page that is currently used by AMs, while AMs would lose access to
certain information on pages and certain optimizations that they could
do before. I'm very hesitant to let just any modification to the page
format go through because someone needs extra metadata attached to a
page.Right. So, to be clear, I think there is an opportunity to store ONE
extra blob of data in the page. It might be an extended checksum, or
it might be a nonce for cryptographic authentication, but it can't be
both. I think this is OK, because in earlier discussions of TDE, it
seems that if you're using encryption and also want to verify page
integrity, you'll use an encryption system that produces some kind of
verifier, and you'll store that into this space in the page instead of
using an enhanced-checksum feature.
Agreed.
In other words, I'm imagining creating a space at the end of each page
for some sort of enhanced security or data integrity feature, and you
can either choose not to use one (in which case things work as they do
today), or you can choose an extended checksums feature, or maybe in
the future you can choose some form of TDE that involves storing a
nonce or a page verifier in the page. But you just get one.Now, the logical question to ask is: well, if there's only one
opportunity to store an extra blob of data on every page, is this the
best way to use it? What if someone comes along with another feature
that also wants to store a blob of data on every page, and they can't
do it because this proposal got there first? My answer is: well, if
that additional feature is something that provides encryption or
tamper-resistance or data integrity or security in any form, then it
can just be added as a new option for how you use this blob of space,
and users who prefer the new thing to the existing options can pick
it. If it's something else, then .... what is it, exactly? It seems to
me that the kinds of things that require space in *every* page of the
cluster are really the things that fall into this category.For example, Stephen mused earlier that maybe while we're at it we
could find a way to include an XID epoch in every page. Maybe so, but
we wouldn't actually want that in *every* page. We would only want it
in the heap pages. And as far as I can see that's pretty generally how
things go. There are plenty of projects that might want extra space in
each page *for a certain AM* and I don't see any reason why what I
propose to do here would rule that out. I think this and that could
both be done, and doing this might even make doing that easier by
putting in place some useful infrastructure. What I don't think we can
get away with is having multiple systems that are each taking a bite
out of every page for every AM -- but I think that's OK, because I
don't think there's a lot of need for multiple such systems.
I agree with the premise of one only needing one such blob on the
page, yet I don't think that putting it on the exact end of the page
is the best option.
PageGetSpecialPointer is much simpler when you can rely on the
location of the special area. As special areas can be accessed N times
each time a buffer is loaded from disk, and yet the 'storage system
extra blob' only twice (once read, once write), I think the special
area should have priority when handing out page space.
That reminds me, there's one more item to be put on the compatibility
checklist: Currently, the FSM code assumes it can use all space on a
page (except the page header) for its total of 3 levels of FSM data.
Mixing page formats would break how it currently works, as changing
the space that is available on a page will change the fanout level of
each leaf in the tree, which our current code can't handle. To change
the page format of one page in the FSM would thus either require a
rewrite of the whole FSM fork, or extra metadata attached to the
relation that details where the format changes. A similar issue exists
with the VM fork.I agree with all of this except I think that "mixing page formats" is
a thing we can't do.
I'm not sure it's impossible, but I would indeed agree it would not be
a trivial issue to solve.
That being said, I think that it could be possible to reuse
pd_checksum as an extra area indicator between pd_upper and
pd_special, so that we'd get [pageheader][pd_linp...] pd_lower [hole]
pd_upper [datas] pd_storage_ext [blackbox] pd_special [special area].
This should require limited rework in current AMs, especially if we
provide a global MAX_STORAGE_EXT_SIZE that AMs can use to get some
upper limit on how much overhead the storage uses per page.This is an interesting alternative. It's unclear to me that it makes
anything better if the [blackbox] area is before the special area vs.
afterward.
The main benefit of this order is that an AM will see it's special
area at a fixed location if it always uses a fixed-size Opaque struct,
i.e. that an AM may still use (Page + BLCKSZ - sizeof(IndexOpaque)) as
seen in [0]https://commitfest.postgresql.org/38/3543. There might be little to gain, but alternatively there's
also little to lose for the storage system -- page read/write to the
FS happens at most once for each time the page is accessed/written to.
I'd thus much rather let the IO subsystem pay this cost than the AM,
as when you'd offload this cost to the AM that would be a constant
overhead for all in-memory operations, while if it were offloaded to
the IO it would only be felt once per swapped block, on average.
The best point for this layout is that this lets us determine what the
data on each page is for without requiring access to shmem variables.
Appending or prepending storage-special areas to the pd_special area
would confuse AMs about what data is theirs on the page -- making it
explicit in the page format would remove this potential for
confustion, while allowing this storage-blob area to be dynamically
sized.
And either way, if that area is fixed-size across the
cluster, you don't really need to use pd_checksum to find it, because
you can just know where it is. A possible advantage of this approach
is that it might make it simpler to cope with a scenario where some
pages in the cluster have this blackbox space and others don't. I
wasn't really thinking that on-line page format conversions were
likely to be practical, but certainly the chances are better if we've
got an explicit pointer to the extra space vs. just knowing where it
has to be.Alternatively, we could claim some space on a page using a special
line pointer at the start of the page referring to storage data, while
having the same limitation on size.That sounds messy.
Yep. It isn't my first choice neither, but it is something that I did
consider - it has the potentially desirable effect of the AM being
able to relocate this blob.
One last option is we recognise that there are two storage locations
of pages that have different data requirements -- on-disk that
requires checksums, and in-memory that requires LSNs. Currently, those
fields are both stored on the page in distinct fields, but we could
(_could_) update the code to drop LSN when we store the page, and drop
the checksum when we load the page (at the cost of redo speed when
recovering from an unclean shutdown). That would provide an extra 64
bits on the page without breaking storage, assuming AMs don't already
misuse pd_lsn.It seems wrong to me to say that we don't need the LSN for a page
stored on disk. Recovery relies on it.
It's not critical for recovery, "just" very useful; but indeed this
too isn't great.
- Matthias
[0]: https://commitfest.postgresql.org/38/3543
[1]: /messages/by-id/CA+TgmoaD8wMN6i1mmuo+4ZNeGE3Hd57ys8uV8UZm7cneqy3W2g@mail.gmail.com
On Mon, Jun 13, 2022 at 6:26 PM Peter Geoghegan <pg@bowt.ie> wrote:
Anyway, I can see how it would be useful to be able to know the offset
of a nonce or of a hash digest on any given page, without access to a
running server. But why shouldn't that be possible with other designs,
including designs closer to what I've outlined?
I don't know what you mean by this. As far as I'm aware, the only
design you've outlined is one where the space wasn't at the same
offset on every page.
A known fixed offset in the special area already assumes that all
pages must have a value in the first place, even though that won't be
true for the majority of individual Postgres servers. There is
implicit information involved in a design like the one Robert has
proposed; your backup tool (or whatever) already has to understand to
expect something other than no encryption at all, or no checksum at
all. Tools like pg_filedump already rely on implicit information about
the special area.
In general, I was imagining that you'd need to look at the control
file to understand how much space had been reserved per page in this
particular cluster. I agree that's a bit awkward, especially for
pg_filedump. However, pg_filedump and I think also some code internal
to PostgreSQL try to figure out what kind of page we've got by looking
at the *size* of the special space. It's only good luck that we
haven't had a collision there yet, and continuing to rely on that
seems like a dead end. Perhaps we should start including a per-AM
magic number at the beginning of the special space.
I'm not against the idea of picking a handful of checksum/encryption
schemes, with the understanding that we'll be committing to those
particular schemes indefinitely -- it's not reasonable to expect
infinite flexibility here (and so I don't). But why should we accept
something that seems to me to be totally inflexible, and doesn't
compose with other things?
We shouldn't accept something that's totally inflexible, but I don't
know why this seems that way to you.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 8:48 AM Robert Haas <robertmhaas@gmail.com> wrote:
On Mon, Jun 13, 2022 at 6:26 PM Peter Geoghegan <pg@bowt.ie> wrote:
Anyway, I can see how it would be useful to be able to know the offset
of a nonce or of a hash digest on any given page, without access to a
running server. But why shouldn't that be possible with other designs,
including designs closer to what I've outlined?I don't know what you mean by this. As far as I'm aware, the only
design you've outlined is one where the space wasn't at the same
offset on every page.
I am skeptical of that particular aspect, yes. Though I would define
it the other way around (now the true special area struct isn't
necessarily at the same offset for a given AM, at least across data
directories).
My main concern is maintaining the ability to interpret much about the
contents of a page without context, and to not make it any harder to
grow the special area dynamically -- which is a broader concern.
Your patch isn't going to be the last one that wants to do something
with the special area. This needs to be carefully considered.
I see a huge amount of potential for adding new optimizations that use
subsidiary space on the page, presumably implemented via a special
area that can grow dynamically. For example, an ad-hoc compression
technique for heap pages that temporarily "absorbs" some extra
versions in the event of opportunistic pruning running and failing to
free enough space. Such a design would operate on similar principles
to deduplication in unique indexes, where the goal is to buy time
rather than buy space. When we fail to keep the contents of a heap
page together today, we often barely fail, so I expect something like
this to have an outsized impact on some workloads.
In general, I was imagining that you'd need to look at the control
file to understand how much space had been reserved per page in this
particular cluster. I agree that's a bit awkward, especially for
pg_filedump. However, pg_filedump and I think also some code internal
to PostgreSQL try to figure out what kind of page we've got by looking
at the *size* of the special space. It's only good luck that we
haven't had a collision there yet, and continuing to rely on that
seems like a dead end. Perhaps we should start including a per-AM
magic number at the beginning of the special space.
It's true that that approach is just a hack -- we probably can do
better. I don't think that it's okay to break it, though. At least not
without providing a comparable alternative, that doesn't rely on
context from the control file.
--
Peter Geoghegan
Peter Geoghegan <pg@bowt.ie> writes:
On Tue, Jun 14, 2022 at 8:48 AM Robert Haas <robertmhaas@gmail.com> wrote:
However, pg_filedump and I think also some code internal
to PostgreSQL try to figure out what kind of page we've got by looking
at the *size* of the special space. It's only good luck that we
haven't had a collision there yet, and continuing to rely on that
seems like a dead end. Perhaps we should start including a per-AM
magic number at the beginning of the special space.
It's been some years since I had much to do with pg_filedump, but
my recollection is that the size of the special space is only one
part of its heuristics, because there already *are* collisions.
Moreover, there already are per-AM magic numbers in there that
it uses to resolve those cases. They're not at the front though.
Nobody has ever wanted to break on-disk compatibility just to make
pg_filedump's page-type identification less klugy, so I find it
hard to believe that the above suggestion isn't a non-starter.
regards, tom lane
On Tue, Jun 14, 2022 at 11:08 AM Matthias van de Meent
<boekewurm+postgres@gmail.com> wrote:
I agree with the premise of one only needing one such blob on the
page, yet I don't think that putting it on the exact end of the page
is the best option.PageGetSpecialPointer is much simpler when you can rely on the
location of the special area. As special areas can be accessed N times
each time a buffer is loaded from disk, and yet the 'storage system
extra blob' only twice (once read, once write), I think the special
area should have priority when handing out page space.
Hmm, but on the other hand, if you imagine a scenario in which the
"storage system extra blob" is actually a nonce for TDE, you need to
be able to find it before you've decrypted the rest of the page. If
pd_checksum gives you the offset of that data, you need to exclude it
from what gets encrypted, which means that you need encrypt three
separate non-contiguous areas of the page whose combined size is
unlikely to be a multiple of the encryption algorithm's block size.
That kind of sucks (and putting it at the end of the page makes it way
better).
That said, I certainly agree that finding the special space needs to
be fast. The question in my mind is HOW fast it needs to be, and what
techniques we might be able to use to dodge the problem. For instance,
suppose that, during the startup sequence, we look at the control
file, figure out the size of the 'storage system extra blob', and
based on that each AM figures out the byte-offset of its special space
and caches that in a global variable. Then, instead of
PageGetSpecialSpace(page) it does PageGetBtreeSpecialSpace(page) or
whatever, where the implementation is ((char*) page) +
the_afformentioned_global_variable. Is that going to be too slow?
If it is, then I think this whole effort may be in more trouble than I
can get it out of, because it's not just the location of the special
space that is an issue here, and indeed from what I can see that's not
even the most important issue. There's tons of constants that are
computed based on the amount of usable space in the page, and I don't
have a better idea than turning those constants into global variables
that are computed once ... well, perhaps in some cases we could
multiply compile hot bits of code, once per possible value of the
compile-time constant, but I'm pretty sure we don't want to do that
for the entire index AM.
There's going to have to be some compromise here. On the one hand
you're going to have people who want to be able to do run-time
conversions between page formats even at the cost of extra runtime
overhead on top of what the basic feature necessarily implies. On the
other hand you're going to have people who don't think any overhead at
all is acceptable, even if it's purely nominal and only visible on a
microbenchmark. Such arguments can easily become holy wars. I think we
should take a pragmatic approach: big slowdowns are categorically
unacceptable, and every effort must be made to minimize overhead, but
if the only permissible amount of overhead is exactly zero, then
there's no hope of ever implementing any of these kinds of features. I
don't think that's actually what most people want.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 9:26 AM Tom Lane <tgl@sss.pgh.pa.us> wrote:
It's been some years since I had much to do with pg_filedump, but
my recollection is that the size of the special space is only one
part of its heuristics, because there already *are* collisions.
Right, there are collisions even today. The heuristics are kludgey,
but they work perfectly in practice. That's not just due to luck --
it's due to people making sure that they continued to work over time.
Moreover, there already are per-AM magic numbers in there that
it uses to resolve those cases. They're not at the front though.
Nobody has ever wanted to break on-disk compatibility just to make
pg_filedump's page-type identification less klugy, so I find it
hard to believe that the above suggestion isn't a non-starter.
There is no doubt that it's not worth breaking on-disk compatibility
just for pg_filedump. The important principle here is that
high-context page formats are bad, and should be avoided whenever
possible.
Why isn't it possible to avoid it here? We have all the bits we need
for it in the page header, and then some. Why should we assume that
it'll never be useful to apply encryption selectively, perhaps at the
relation level?
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 10:43 AM Robert Haas <robertmhaas@gmail.com> wrote:
Hmm, but on the other hand, if you imagine a scenario in which the
"storage system extra blob" is actually a nonce for TDE, you need to
be able to find it before you've decrypted the rest of the page. If
pd_checksum gives you the offset of that data, you need to exclude it
from what gets encrypted, which means that you need encrypt three
separate non-contiguous areas of the page whose combined size is
unlikely to be a multiple of the encryption algorithm's block size.
That kind of sucks (and putting it at the end of the page makes it way
better).
I don't have a great understanding of how that cost will be felt in
detail right now, because I don't know enough about the project and
the requirements for TDE in general.
That said, I certainly agree that finding the special space needs to
be fast. The question in my mind is HOW fast it needs to be, and what
techniques we might be able to use to dodge the problem. For instance,
suppose that, during the startup sequence, we look at the control
file, figure out the size of the 'storage system extra blob', and
based on that each AM figures out the byte-offset of its special space
and caches that in a global variable. Then, instead of
PageGetSpecialSpace(page) it does PageGetBtreeSpecialSpace(page) or
whatever, where the implementation is ((char*) page) +
the_afformentioned_global_variable. Is that going to be too slow?
Who knows? For now the important point is that there is a tension
between the requirements of TDE, and the requirements of access
methods (especially index access methods). It's possible that this
will turn out not to be much of a problem. But the burden of proof is
yours. Making a big change to the on-disk format like this (a change
that affects every access method) should be held to an exceptionally
high standard.
There are bound to be tacit or even explicit assumptions made by
access methods that you risk breaking here. The reality is that all of
the access method code evolved in an environment where the special
space size was constant and generic for a given BLCKSZ. I don't have
much sympathy for any suggestion that code written 20 years ago should
have known not to make these assumptions. I have a lot more sympathy
for the idea that it's a general problem with our infrastructure
(particularly code in bufpage.c and the delicate assumptions made by
its callers) -- a problem that is worth addressing with a broad
solution that enables lots of different work.
We don't necessarily get another shot at this if we get it wrong now.
There's going to have to be some compromise here. On the one hand
you're going to have people who want to be able to do run-time
conversions between page formats even at the cost of extra runtime
overhead on top of what the basic feature necessarily implies. On the
other hand you're going to have people who don't think any overhead at
all is acceptable, even if it's purely nominal and only visible on a
microbenchmark. Such arguments can easily become holy wars.
How many times has a big change to the on-disk format of this kind of
magnitude taken place, post-pg_upgrade? I would argue that this would
be the first, since it is the moral equivalent of extending the size
of the generic page header.
For all I know the overhead will be perfectly fine, and everybody
wins. I just want to be adamant that we're making the right
trade-offs, and maximizing the benefit from any new cost imposed on
access method code.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 1:43 PM Peter Geoghegan <pg@bowt.ie> wrote:
There is no doubt that it's not worth breaking on-disk compatibility
just for pg_filedump. The important principle here is that
high-context page formats are bad, and should be avoided whenever
possible.
I agree.
Why isn't it possible to avoid it here? We have all the bits we need
for it in the page header, and then some. Why should we assume that
it'll never be useful to apply encryption selectively, perhaps at the
relation level?
We can have anything we want here, but we can't have everything we
want at the same time. There are irreducible engineering trade-offs
here. If all pages in a given cluster are the same, backends can
compute the values of things that are currently compile-time constants
upon startup and continue to use them for the lifetime of the backend.
If pages can vary, some encrypted or checksummed and others not, then
you have to recompute those values for every page. That's bound to
have some cost. It is also more flexible.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 11:14 AM Robert Haas <robertmhaas@gmail.com> wrote:
We can have anything we want here, but we can't have everything we
want at the same time. There are irreducible engineering trade-offs
here. If all pages in a given cluster are the same, backends can
compute the values of things that are currently compile-time constants
upon startup and continue to use them for the lifetime of the backend.
If pages can vary, some encrypted or checksummed and others not, then
you have to recompute those values for every page. That's bound to
have some cost. It is also more flexible.
Maybe not -- it depends on the particulars of the code. For example,
it might be okay for the B-Tree code to assume that B-Tree pages have
a special area at a known fixed offset, determined at compile time. At
the same time, it might very well not be okay for a backup tool to
make any such assumption, because it doesn't have the same context.
Even within TDE, it might be okay to assume that it's a feature that
the user must commit to using for a whole cluster at initdb time. What
isn't okay is committing to that assumption now and forever, by
leaving the door open to a world in which that assumption no longer
holds. Like when you do finally get around to making TDE something
that can work at the relation level, for example. Even if there is
only a small chance of that ever happening, why wouldn't we be
prepared for it, just on general principle?
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 2:23 PM Peter Geoghegan <pg@bowt.ie> wrote:
Maybe not -- it depends on the particulars of the code. For example,
it might be okay for the B-Tree code to assume that B-Tree pages have
a special area at a known fixed offset, determined at compile time. At
the same time, it might very well not be okay for a backup tool to
make any such assumption, because it doesn't have the same context.Even within TDE, it might be okay to assume that it's a feature that
the user must commit to using for a whole cluster at initdb time. What
isn't okay is committing to that assumption now and forever, by
leaving the door open to a world in which that assumption no longer
holds. Like when you do finally get around to making TDE something
that can work at the relation level, for example. Even if there is
only a small chance of that ever happening, why wouldn't we be
prepared for it, just on general principle?
To the extent that we can leave ourselves room to do new things in the
future without incurring unreasonable costs in the present, I'm in
favor of that, as I believe anyone would be. But as you say, a lot
depends on the specifics. Theoretical flexibility that can only be
used in practice by really slow code doesn't help anybody.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 11:52 AM Robert Haas <robertmhaas@gmail.com> wrote:
Even within TDE, it might be okay to assume that it's a feature that
the user must commit to using for a whole cluster at initdb time. What
isn't okay is committing to that assumption now and forever, by
leaving the door open to a world in which that assumption no longer
holds. Like when you do finally get around to making TDE something
that can work at the relation level, for example. Even if there is
only a small chance of that ever happening, why wouldn't we be
prepared for it, just on general principle?To the extent that we can leave ourselves room to do new things in the
future without incurring unreasonable costs in the present, I'm in
favor of that, as I believe anyone would be. But as you say, a lot
depends on the specifics. Theoretical flexibility that can only be
used in practice by really slow code doesn't help anybody.
A tool like pg_filedump or a backup tool can easily afford this
overhead. The only cost that TDE has to pay for this added flexibility
is that it has to set one of the PD_* bits in a code path that is
already bound to be very expensive. What's so bad about that?
Honestly, I'm a bit surprised that you're pushing back on this
particular point. A nonce for TDE is just something that code in
places like bufpage.h ought to know about. It has to be negotiated at
that level, because it will in fact affect a lot of callers to the
bufpage.h functions.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 3:01 PM Peter Geoghegan <pg@bowt.ie> wrote:
A tool like pg_filedump or a backup tool can easily afford this
overhead. The only cost that TDE has to pay for this added flexibility
is that it has to set one of the PD_* bits in a code path that is
already bound to be very expensive. What's so bad about that?Honestly, I'm a bit surprised that you're pushing back on this
particular point. A nonce for TDE is just something that code in
places like bufpage.h ought to know about. It has to be negotiated at
that level, because it will in fact affect a lot of callers to the
bufpage.h functions.
Peter, unless I have missed something, this email is the very first
one where you or anyone else have said anything at all about a PD_*
bit. Even here, it's not very clear exactly what you are proposing.
Therefore I have neither said anything bad about it in the past, nor
can I now answer the question as to what is "so bad about it." If you
want to make a concrete proposal, I will be happy to tell you what I
think about it.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 12:13 PM Robert Haas <robertmhaas@gmail.com> wrote:
Peter, unless I have missed something, this email is the very first
one where you or anyone else have said anything at all about a PD_*
bit. Even here, it's not very clear exactly what you are proposing.
Therefore I have neither said anything bad about it in the past, nor
can I now answer the question as to what is "so bad about it." If you
want to make a concrete proposal, I will be happy to tell you what I
think about it.
I am proposing that we not commit ourselves to relying on implicit
information about what must be true for every page in the cluster.
Just having a little additional page-header metadata (in pd_flags)
would accomplish that much, and wouldn't in itself impose any real
overhead on TDE.
It's not like the PageHeaderData.pd_flags bits are already a precious
commodity, in the same way as the heap tuple infomask status bits are.
We can afford to use some of them for this purpose, and then some.
Why wouldn't we do it that way, just on general principle?
You may still find it useful to rely on high level context at the
level of code that runs on the server, perhaps for performance reasons
(though it's unclear how much it matters). In which case the status
bit is technically redundant information as far as the code is
concerned. That may well be fine.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 3:25 PM Peter Geoghegan <pg@bowt.ie> wrote:
I am proposing that we not commit ourselves to relying on implicit
information about what must be true for every page in the cluster.
Just having a little additional page-header metadata (in pd_flags)
would accomplish that much, and wouldn't in itself impose any real
overhead on TDE.It's not like the PageHeaderData.pd_flags bits are already a precious
commodity, in the same way as the heap tuple infomask status bits are.
We can afford to use some of them for this purpose, and then some.Why wouldn't we do it that way, just on general principle?
You may still find it useful to rely on high level context at the
level of code that runs on the server, perhaps for performance reasons
(though it's unclear how much it matters). In which case the status
bit is technically redundant information as far as the code is
concerned. That may well be fine.
I still am not clear on precisely what you are proposing here. I do
agree that there is significant bit space available in pd_flags and
that consuming some of it wouldn't be stupid, but that doesn't add up
to a proposal. Maybe the proposal is: figure out how many different
configurations there are for this new kind of page space, let's say N,
and then reserve ceil(log2(N)) bits from pd_flags to indicate which
one we've got.
One possible problem with this is that, if the page is actually
encrypted, we might want pd_flags to also be encrypted. The existing
contents of pd_flags disclose some information about the tuples that
are on the page, so having them exposed to prying eyes does not seem
appealing.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 1:22 PM Robert Haas <robertmhaas@gmail.com> wrote:
I still am not clear on precisely what you are proposing here. I do
agree that there is significant bit space available in pd_flags and
that consuming some of it wouldn't be stupid, but that doesn't add up
to a proposal. Maybe the proposal is: figure out how many different
configurations there are for this new kind of page space, let's say N,
and then reserve ceil(log2(N)) bits from pd_flags to indicate which
one we've got.
I'm just making a general point. Why wouldn't we start out with the
assumption that we use some pd_flags bit space for this stuff?
One possible problem with this is that, if the page is actually
encrypted, we might want pd_flags to also be encrypted. The existing
contents of pd_flags disclose some information about the tuples that
are on the page, so having them exposed to prying eyes does not seem
appealing.
I'm skeptical of the idea that we want to avoid leaving any metadata
unencrypted. But I'm not an expert on TDE, and don't want to say too
much about it without having done some more research. I would like to
see some justification for just encrypting everything on the page
without concern for the loss of debuggability, though. What is the
underlying theory behind that particular decision? Are there any
examples that we can draw from, from other systems or published
designs?
Let's assume for now that we don't leave pd_flags unencrypted, as you
have suggested. We're still discussing new approaches to checksumming
in the scope of this work, which of course includes many individual
cases that don't involve any encryption. Plus even with encryption
there are things like defensive assertions that can be added by using
a flag bit for this.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 1:32 PM Peter Geoghegan <pg@bowt.ie> wrote:
On Tue, Jun 14, 2022 at 1:22 PM Robert Haas <robertmhaas@gmail.com> wrote:
I still am not clear on precisely what you are proposing here. I do
agree that there is significant bit space available in pd_flags and
that consuming some of it wouldn't be stupid, but that doesn't add up
to a proposal. Maybe the proposal is: figure out how many different
configurations there are for this new kind of page space, let's say N,
and then reserve ceil(log2(N)) bits from pd_flags to indicate which
one we've got.I'm just making a general point. Why wouldn't we start out with the
assumption that we use some pd_flags bit space for this stuff?
Technically we don't already do that today, with the 16-bit checksums
that are stored in PageHeaderData.pd_checksum. But we do something
equivalent: low-level tools can still infer that checksums must not be
enabled on the page (really the cluster) indirectly in the event of a
0 checksum. A 0 value can reasonably be interpreted as a page from a
cluster without checksums (barring page corruption). This is basically
reasonable because our implementation of checksums is guaranteed to
not generate 0 as a valid checksum value.
While pg_filedump does not rely on the 0 checksum convention
currently, it doesn't really need to. When the user uses the -k option
to verify checksums in passing, pg_filedump can assume that checksums
must be enabled ("the user said they must be so expect it" is a
reasonable assumption at that point). This also depends on there being
only one approach to checksums.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 4:33 PM Peter Geoghegan <pg@bowt.ie> wrote:
I'm just making a general point. Why wouldn't we start out with the
assumption that we use some pd_flags bit space for this stuff?
Well, the reason that wasn't my starting assumption is because I
didn't think of the idea.
I'm skeptical of the idea that we want to avoid leaving any metadata
unencrypted. But I'm not an expert on TDE, and don't want to say too
much about it without having done some more research. I would like to
see some justification for just encrypting everything on the page
without concern for the loss of debuggability, though. What is the
underlying theory behind that particular decision? Are there any
examples that we can draw from, from other systems or published
designs?
I don't really think there is much controversy about the idea that
it's a good idea to encrypt all of the data rather than only some of
it. I mean, that's what side channel attacks are: failure to secure
all of the information that an attacker might find useful.
Unfortunately, it seems inevitable that any TDE implementation in
PostgreSQL is going to leak some information that an attacker might
consider useful - e.g. we can't conceal how many files they are, or
what they're called, or the lengths of those files. But it seems
absolutely clear that our goal ought to be to leak as little
information as possible.
Let's assume for now that we don't leave pd_flags unencrypted, as you
have suggested. We're still discussing new approaches to checksumming
in the scope of this work, which of course includes many individual
cases that don't involve any encryption. Plus even with encryption
there are things like defensive assertions that can be added by using
a flag bit for this.
True. I don't think we should be too profligate with those bits just
in case somebody needs a bunch of them for something important in the
future, but it's probably fine to use up one or two.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 9:56 PM Peter Geoghegan <pg@bowt.ie> wrote:
Technically we don't already do that today, with the 16-bit checksums
that are stored in PageHeaderData.pd_checksum. But we do something
equivalent: low-level tools can still infer that checksums must not be
enabled on the page (really the cluster) indirectly in the event of a
0 checksum. A 0 value can reasonably be interpreted as a page from a
cluster without checksums (barring page corruption). This is basically
reasonable because our implementation of checksums is guaranteed to
not generate 0 as a valid checksum value.
I don't think that 'pg_checksums -d' zeroes the checksum values on the
pages in the cluster.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 7:17 PM Robert Haas <robertmhaas@gmail.com> wrote:
But it seems
absolutely clear that our goal ought to be to leak as little
information as possible.
But at what cost?
Basically I think that this is giving up rather a lot. For example,
isn't it possible that we'd have corruption that could be a bug in
either the checksum code, or in recovery?
I'd feel a lot better about it if there was some sense of both the
costs and the benefits.
Let's assume for now that we don't leave pd_flags unencrypted, as you
have suggested. We're still discussing new approaches to checksumming
in the scope of this work, which of course includes many individual
cases that don't involve any encryption. Plus even with encryption
there are things like defensive assertions that can be added by using
a flag bit for this.True. I don't think we should be too profligate with those bits just
in case somebody needs a bunch of them for something important in the
future, but it's probably fine to use up one or two.
Sure, but how many could possibly be needed for this? I can't see it
being more than 2 or 3. Which seems absolutely fine. They *definitely*
have no value if nobody ever uses them for anything.
--
Peter Geoghegan
On Tue, Jun 14, 2022 at 10:21:16PM -0400, Robert Haas wrote:
On Tue, Jun 14, 2022 at 9:56 PM Peter Geoghegan <pg@bowt.ie> wrote:
Technically we don't already do that today, with the 16-bit checksums
that are stored in PageHeaderData.pd_checksum. But we do something
equivalent: low-level tools can still infer that checksums must not be
enabled on the page (really the cluster) indirectly in the event of a
0 checksum. A 0 value can reasonably be interpreted as a page from a
cluster without checksums (barring page corruption). This is basically
reasonable because our implementation of checksums is guaranteed to
not generate 0 as a valid checksum value.I don't think that 'pg_checksums -d' zeroes the checksum values on the
pages in the cluster.
Saving the suspense.. pg_checksums --disable only updates the control
file to keep the operation cheap.
--
Michael
On Tue, Jun 14, 2022 at 7:21 PM Robert Haas <robertmhaas@gmail.com> wrote:
On Tue, Jun 14, 2022 at 9:56 PM Peter Geoghegan <pg@bowt.ie> wrote:
Technically we don't already do that today, with the 16-bit checksums
that are stored in PageHeaderData.pd_checksum. But we do something
equivalent: low-level tools can still infer that checksums must not be
enabled on the page (really the cluster) indirectly in the event of a
0 checksum. A 0 value can reasonably be interpreted as a page from a
cluster without checksums (barring page corruption). This is basically
reasonable because our implementation of checksums is guaranteed to
not generate 0 as a valid checksum value.I don't think that 'pg_checksums -d' zeroes the checksum values on the
pages in the cluster.
Obviously there are limitations on when and how we can infer something
about the whole cluster based on one single page image -- it all
depends on the context. I'm only arguing that we ought to make this
kind of analysis as easy as we reasonably can. I just don't see any
downside to having a status bit per checksum or encryption algorithm
at the page level, and plenty of upside (especially if the event of
bugs).
This seems like the absolute bare minimum to me, and I'm genuinely
surprised that there is even a question about whether or not we should
do that much.
--
Peter Geoghegan
On 13.06.22 20:20, Robert Haas wrote:
If the user wants 16-bit checksums, the feature we've already got
seems good enough -- and, as you say, it doesn't use any extra disk
space. This proposal is just about making people happy if they want a
bigger checksum.
It's hard to get any definite information about what size of checksum is
"good enough", since after all it depends on what kinds of errors you
expect and what kinds of probabilities you want to accept. But the best
I could gather so far is that 16-bit CRC are good until about 16 kB
block size.
Which leads to the question whether there is really a lot of interest in
catering to larger block sizes. The recent thread about performance
impact of different block sizes might renew interest in this. But
unless we really want to encourage playing with the block sizes (and if
my claim above is correct), then a larger checksum size might not be needed.
On the topic of which algorithm to use, I'd be inclined to think that
it is going to be more useful to offer checksums that are 64 bits or
more, since IMHO 32 is not all that much more than 16, and I still
think there are going to be alignment issues. Beyond that I don't have
anything against your specific suggestions, but I'd like to hear what
other people think.
Again, gathering some vague information ...
The benefits of doubling the checksum size are exponential rather than
linear, so there is no significant benefit of using a 64-bit checksum
over a 32-bit one, for supported block sizes (current max is 32 kB).
On Wed, Jun 15, 2022 at 4:54 AM Peter Eisentraut
<peter.eisentraut@enterprisedb.com> wrote:
It's hard to get any definite information about what size of checksum is
"good enough", since after all it depends on what kinds of errors you
expect and what kinds of probabilities you want to accept. But the best
I could gather so far is that 16-bit CRC are good until about 16 kB
block size.
Not really. There's a lot of misinformation on this topic floating
around on this mailing list, and some of that misinformation is my
fault. I keep learning more about this topic. However, I'm pretty
confident that, on the one hand, there's no hard limit on the size of
the data that can be effectively validated via a CRC, and on the other
hand, CRC isn't a particularly great algorithm, although it does have
certain interesting advantages for certain purposes.
For example, according to
https://en.wikipedia.org/wiki/Mathematics_of_cyclic_redundancy_checks#Error_detection_strength
a CRC is guaranteed to detect all single-bit errors. This property is
easy to achieve: for example, a parity bit has this property.
According to the same source, a CRC is guaranteed to detect two-bit
errors only if the distance between them is less than some limit that
gets larger as the CRC gets wider. Imagine that you have a CRC-16 of a
message 64k+1 bits in length. Suppose that an error in the first bit
changes the result from v to v'. Can we, by flipping a second bit
later in the message, change the final result from v' back to v? The
calculation only has 64k possible answers, and we have 64k bits we can
flip to try to get the desired answer. If every one of those bit flips
produces a different answer, then one of those answers must be v --
which means detection of two-bits errors is not guaranteed. If at
least two of those bit flips produce the same answer, then consider
the messages produced by those two different bit flips. They differ
from each other by exactly two bits and yet produced the same CRC, so
detection of two-bit errors is still not guaranteed.
On the other hand, it's still highly likely. If a message of length
2^16+1 bits contains two bit errors one of which is in the first bit,
the chances that the other one is in exactly the right place to cancel
out the first error are about 2^-16. That's not zero, but it's just as
good as our chances of detecting a replacement of the entire message
with some other message chosen completely at random. I think the
reason why discussion of CRCs tends to focus on the types of bit
errors that it can detect is that the algorithm was designed when
people were doing stuff like sending files over a modem. It's easy to
understand how individual bits could get garbled without anybody
noticing, while large-scale corruption would be less likely, but the
risks are not necessarily the same for a PostgreSQL data file. Lower
levels of the stack are probably already using checksums to try to
detect errors at the level of the physical medium. I'm sure some stuff
slips through the cracks, but in practice we also see failure modes
where the filesystem substitutes 8kB of data from an unrelated file,
or where a torn write in combination with unreliable fsync results in
half of the page contents being from an older version of the page.
These kinds of large-scale replacements aren't what CRCs are designed
to detect, and the chances that we will detect them are roughly
1-2^-bits, whether we use a CRC or something else.
Of course, that partly depends on the algorithm quality. If an
algorithm is more likely to generate some results than others, then
its actual error detection rate will not be as good as the number of
output bits would suggest. If the result doesn't depend equally on
every input bit, then the actual error detection rate will not be as
good as the number of output bits would suggest. And CRC-32 is
apparently not great by modern standards:
https://github.com/rurban/smhasher
Compare the results for CRC-32 with, say, Spooky32. Apparently the
latter is faster yet produces better output. So maybe we would've been
better off if we'd made Spooky32 the default algorithm for backup
manifest checksums rather than CRC-32.
The benefits of doubling the checksum size are exponential rather than
linear, so there is no significant benefit of using a 64-bit checksum
over a 32-bit one, for supported block sizes (current max is 32 kB).
I'm still unconvinced that the block size is very relevant here.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 10:30 PM Peter Geoghegan <pg@bowt.ie> wrote:
Basically I think that this is giving up rather a lot. For example,
isn't it possible that we'd have corruption that could be a bug in
either the checksum code, or in recovery?I'd feel a lot better about it if there was some sense of both the
costs and the benefits.
I think that, if and when we get TDE, debuggability is likely to be a
huge issue. Something will go wrong for someone at some point, and
when it does, what they'll have is a supposedly-encrypted page that
cannot be decrypted, and it will be totally unclear what has gone
wrong. Did the page get corrupted on disk by a random bit flip? Is
there a bug in the algorithm? Torn page? As things stand today, when a
page gets corrupted, a human being can look at the page and make an
educated guess about what has gone wrong and whether PostgreSQL or
some other system is to blame, and if it's PostgreSQL, perhaps have
some ideas as to where to look for the bug. If the pages are
encrypted, that's a lot harder. I think what will happen, depending on
the encryption mode, is probably that either (a) the page will decrypt
to complete garbage or (b) the page will fail some kind of
verification and you won't be able to decrypt it at all. Either way,
you won't be able to infer anything about what caused the problem. All
you'll know is that something is wrong. That sucks - a lot - and I
don't have a lot of good ideas as to what can be done about it. The
idea that an encrypted page is unintelligible and that small changes
to either the encrypted or unencrypted data should result in large
changes to the other is intrinsic to the nature of encryption. It's
more or less un-debuggable by design.
With extended checksums, I don't think the issues are anywhere near as
bad. I'm not deeply opposed to setting a page-level flag but I expect
nominal benefits. A human being looking at the page isn't going to
have a ton of trouble figuring out whether or not the extended
checksum is present unless the page is horribly, horribly garbled, and
even if that happens, will debugging that problem really be any worse
than debugging a horribly, horribly garbled page today? I don't think
so. I likewise expect that pg_filedump could use heuristics to figure
out what's going on just by looking at the page, even if no external
information is available. You are probably right when you say that
there's no need to be so parsimonious with pd_flags space as all that,
but I believe that if we did decide to set no bit in pd_flags, whoever
maintains pg_filedump these days would not have huge difficulty
inventing a suitable heuristic. A page with an extended checksum is
basically still an intelligible page, and we shouldn't understate the
value of that.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Wed, Jun 15, 2022 at 1:27 PM Robert Haas <robertmhaas@gmail.com> wrote:
I think what will happen, depending on
the encryption mode, is probably that either (a) the page will decrypt
to complete garbage or (b) the page will fail some kind of
verification and you won't be able to decrypt it at all. Either way,
you won't be able to infer anything about what caused the problem. All
you'll know is that something is wrong. That sucks - a lot - and I
don't have a lot of good ideas as to what can be done about it. The
idea that an encrypted page is unintelligible and that small changes
to either the encrypted or unencrypted data should result in large
changes to the other is intrinsic to the nature of encryption. It's
more or less un-debuggable by design.
It's pretty clear that there must be a lot of truth to that. But that
doesn't mean that there aren't meaningful gradations beyond that.
I think that it's worth doing the following exercise (humor me): Why
wouldn't it be okay to just encrypt the tuple space and the line
pointer array, leaving both the page header and page special area
unencrypted? What kind of user would find that trade-off to be
unacceptable, and why? What's the nuance of it?
For all I know you're right (about encrypting the whole page, metadata
and all). I just want to know why that is. I understand that this
whole area is one where in general we may have to live with a certain
amount of uncertainty about what really matters.
With extended checksums, I don't think the issues are anywhere near as
bad. I'm not deeply opposed to setting a page-level flag but I expect
nominal benefits.
I also expect only a small benefit. But that isn't a particularly
important factor in my mind.
Let's suppose that it turns out to be significantly more useful than
we originally expected, for whatever reason. Assuming all that, what
else can be said about it now? Isn't it now *relatively* likely that
including that status bit metadata will be *extremely* valuable, and
not merely somewhat more valuable?
I guess it doesn't matter much now (since you have all but conceded
that using a bit for this makes sense), but FWIW that's the main
reason why I almost took it for granted that we'd need to use a status
bit (or bits) for this.
--
Peter Geoghegan
On Wed, Jun 15, 2022 at 5:53 PM Peter Geoghegan <pg@bowt.ie> wrote:
I think that it's worth doing the following exercise (humor me): Why
wouldn't it be okay to just encrypt the tuple space and the line
pointer array, leaving both the page header and page special area
unencrypted? What kind of user would find that trade-off to be
unacceptable, and why? What's the nuance of it?
Let's consider a continuum where, on the one end, you encrypt the
entire disk. Then, consider a solution where you encrypt each
individual file, block by block. Next, let's imagine that we don't
encrypt some kinds of files at all, if we think the data in them isn't
sensitive enough. CLOG, maybe. Perhaps pg_class, because that'd be
useful for debugging, and how sensitive can the names of the database
tables be? Then, let's adopt your proposal here and leave some parts
of each block unencrypted for debuggability. As a next step, we could
take the further step of separately encrypting each tuple, but only
the data, leaving the tuple header unencrypted. Then, going further,
we could encrypt each individual column value within the tuple
separately, rather than encrypting the tuple together. Then, let's
additionally decide that we're not going to encrypt all the columns,
but just the ones the user says are sensitive. Now I think we've
pretty much reached the other end of the continuum, unless someone is
going to propose something like encrypting only part of each column,
or storing some unencrypted data along with each encrypted column that
is somehow dependent on the column contents.
I think it is undeniable that every step along that continuum has
weakened security in some way. The worst case scenario for an attacker
must be that the entire disk is encrypted and they can gain no
meaningful information at all without having to break that encryption.
As the encryption touches fewer things, it becomes easier and easier
to make inferences about the unseen data based on the data that you
can see. One can sit around and argue about whether the amount of
information that is leaked at any given step is enough for anyone to
care, but to some extent that's an opinion question where any position
can be defended by someone. I would argue that even leaking the
lengths of the files is not great at all. Imagine that the table is
scheduled_nuclear_missile_launches. I definitely do not want my
adversaries to know even as much as whether that table is zero-length
or non-zero-length. In fact I would prefer that they be unable to
infer that I have such a table at all. Back in 2019 I constructed a
similar example for how access to pg_clog could leak meaningful
information:
/messages/by-id/CA+TgmoZhbeYmRoAccJ1oCN03Jz2Uak18QN4afx4WD7g+j7SVcQ@mail.gmail.com
Now, obviously, anyone can debate how realistic such cases are, but
they definitely exist. If you can read btpo_prev, btpo_next,
btpo_level, and btpo_flags for every page in the btree, you can
probably infer some things about the distribution of keys in the table
-- especially if you can read all the pages at time T1 and then read
them all again later at time T2 (and maybe further times T3..Tn). You
can make inference about which parts of the keyspace are receiving new
index insertions and which are not. If that's the index on the
current_secret_missions.country_code column, well then that sucks.
Your adversary may be able to infer where in the world your secret
organization is operating and round up all your agents.
Now, I do realize that if we're ever going to get TDE in PostgreSQL,
we will probably have to make some compromises. Actually concealing
file lengths would require a redesign of the entire storage system,
and so is probably not practical in the short term. Concealing SLRU
contents would require significant changes too, some of which I think
are things Thomas wants to do anyway, but we might have to punt that
goal for the first version of a TDE feature, too. Surely, that weakens
security, but if it gets us to a feature that some people can use
before the heat death of the universe, there's a reasonable argument
that that's better than nothing. Still, conceding that we may not
realistically may be able to conceal all the information in v1 is
different from arguing that concealing it isn't desirable, and I think
the latter argument is pretty hard to defend.
People who want to break into computers have gotten incredibly good at
exploiting incredibly subtle bits of information in order to infer the
contents of unseen data.
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability) is a
good example: somebody figured out that the branch prediction hardware
could initiate speculative accesses to RAM that the user doesn't
actually have permission to execute, and thus a JavaScript program
running in your browser can read out the entire contents of RAM by
measuring exactly how long mis-predicted code takes to execute.
There's got to be at least one chip designer out there somewhere who
was involved in the design of that branch prediction system, knew that
it didn't perform the permissions checks before accessing RAM, and
thought to themselves "that should be ok - what's the worst thing that
can happen?". I imagine that (those) chip designer(s) had a really bad
day when they found out someone had written a program to use that
information leakage to read out the entire contents of RAM ... not
even using C, but using JavaScript running inside a browser!
That's only an example, but I think it's pretty typical of how these
sort of things go. I believe computer security literature is literally
riddled with attacks where the exposure of seemingly-innocent
information turned out to be a big problem. I don't think the
information exposed in the btree special space is very innocent: it's
not the keys themselves, but if you have the contents of every btree
special space in the btree there are definitely cases where you can
take inference from that information.
I also expect only a small benefit. But that isn't a particularly
important factor in my mind.Let's suppose that it turns out to be significantly more useful than
we originally expected, for whatever reason. Assuming all that, what
else can be said about it now? Isn't it now *relatively* likely that
including that status bit metadata will be *extremely* valuable, and
not merely somewhat more valuable?
This is too hypothetical for me to have an intelligent opinion.
--
Robert Haas
EDB: http://www.enterprisedb.com
On Tue, Jun 14, 2022 at 01:42:55PM -0400, Robert Haas wrote:
Hmm, but on the other hand, if you imagine a scenario in which the
"storage system extra blob" is actually a nonce for TDE, you need to
be able to find it before you've decrypted the rest of the page. If
pd_checksum gives you the offset of that data, you need to exclude it
from what gets encrypted, which means that you need encrypt three
separate non-contiguous areas of the page whose combined size is
unlikely to be a multiple of the encryption algorithm's block size.
That kind of sucks (and putting it at the end of the page makes it way
better).
I continue to believe that a nonce is not needed for XTS encryption
mode, and that adding a tamper-detection GCM hash is of limited
usefulness since malicious writes can be done to other critical files
and can be used to find the cluster or encryption keys
--
Bruce Momjian <bruce@momjian.us> https://momjian.us
EDB https://enterprisedb.com
Indecision is a decision. Inaction is an action. Mark Batterson