Куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау қағидаларын бекіту туралы

Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 27 қазандағы № 405/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 30 қазанда № 21549 болып тіркелді.

      "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасы Заңының 5-бабы 1-тармағының 13-3) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Мемлекеттік көрсетілетін қызметтер комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты ресми жарияланғаннан кейін Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуден өткеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі 		Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Сауда және интеграция министрлігі

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2020 жылғы 27 қазаны
№ 405/НҚ бұйрығымен
бекітілген

Куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау қағидалары

1-тарау. Жалпы ережелер

      1. Осы куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, сақтау және пайдалану қағидалары (бұдан әрі – Қағидалар) "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңына сәйкес әзірленді және бұлтты сервистерде электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 17.03.2023 № 95/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      2. Осы Қағидаларда мынадай ұғымдар қолданылады:

      1) биометриялық сәйкестендіру – жеке басты физиологиялық және биологиялық өзгермейтін белгілері негізінде сәйкестендіретін шаралар кешені;

      2) блокчейн – өзара байланысты деректер блоктарының, тұтастығын растаудың берілген алгоритмдері мен шифрлау құралдарының тізбектері базасында деректердің таратылған платформасындағы ақпараттың өзгермеуін қамтамасыз ететін ақпараттық-коммуникациялық технология;

      3) көп факторлы сәйкестендіру – парольдерді немесе сәйкестендіру белгілерін (цифрлық сертификаттар, токендер, смарт-карталар, бір жолғы парольдердің генераторлары және биометриялық сәйкестендіруші құралдар) құру мен енгізуді қоса алғанда, түрлі параметрлер комбинациясының көмегімен пайдаланушының шынайылығын тексеру тәсілі;

      4) куәландырушы орталық (бұдан әрі – КО) – электрондық цифрлық қолтаңбаның ашық кілтінің электрондық цифрлық қолтаңбаның жабық кілтіне сәйкестігін куәландыратын, сондай-ақ тіркеу куәлігінің анықтығын растайтын заңды тұлға;

      5) тіркеу куәлігін иеленуші (бұдан әрі – иеленуші) – өз атына тіркеу куәлігі берілген, тіркеу куәлігінде көрсетілген ашық кілтке сәйкес келетін жабық кілтті құқыққа сыйымды иеленетін жеке немесе заңды тұлға;

      6) электрондық цифрлық қолтаңба (бұдан әрі – ЭЦҚ) – электрондық цифрлық қолтаңба құралдарымен жасалған және электрондық құжаттың анықтығын, оның тиесілілігін және мазмұнының өзгермейтіндігін растайтын электрондық цифрлық нышандар жиынтығы;

      7) ЭЦҚ ашық кілті – кез келген тұлғаға қолжетімді және электрондық құжаттағы электрондық цифрлық қолтаңбаның төлнұсқалығын растауға арналған электрондық цифрлық нышандар дәйектілігі;

      8) ЭЦҚ жабық кілті – электрондық цифрлық қолтаңба құралдарын пайдалана отырып, электрондық цифрлық қолтаңбаны жасауға арналған электрондық цифрлық нышандар дәйектілігі;

      9) ЭЦҚ құралдары – электрондық цифрлық қолтаңбаны жасау және оның төлнұсқалығын тексеру үшін пайдаланылатын бағдарламалық және техникалық құралдардың жиынтығы;

      10) бұлтты ЭЦҚ – куәландырушы орталықтың HSM-де электрондық цифрлық қолтаңбаның жабық кілттерін жасауға, пайдалануға, сақтауға және жоюға мүмкіндік беретін сервисі, мұнда жеке кілтке қол жеткізуді иеленуші кемінде екі аутентификация факторы арқылы қашықтан жүзеге асырады, олардың бірі биометриялық болып табылады;

      11) хэш – еркін ұзындықтағы кіріс деректерінің құрылымын белгіленген ұзындықтың бит-ке түрлендіру;

      12) (Hardware Security Module) аппараттық криптографиялық модулі (бұдан әрі – HSM) – ақпаратты шифрлауға және ЭЦҚ ашық және жабық кілттерін басқаруға арналған аппараттық криптографиялық модуль.

      Ескерту. 2-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 17.03.2023 № 95/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

2-тарау. Куәландырушы орталықта ЭЦҚ жабық кілттерін жасау тәртібі

      3. ЭЦҚ жабық кілттерін КО:

      1) иеленушіге берілетін иеленушінің негізгі ақпаратын тасымалдаушыда;

      2) бұлтты ЭЦҚ-да жасайды.

      4. Бұлтты ЭЦҚ жабық кілттері қатаң түрде HSM ішінде жасалады. Жеке кілт HSM-ден ашық түрде алынбайды.

      Бұл ретте HSM:

      1) ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" стандартында белгіленген талаптарға сәйкес үшінші қауіпсіздік деңгейінен төмен емес;

      2) корпусты ашу фактісін анықтау және HSM үшін қажетті негізгі ақпаратты кейіннен жою үшін датчиктерді пайдаланатын периметрдің физикалық қорғанысымен (корпусты ашудан қорғау) жобаланған;

      3) Қазақстан Республикасының қолданыстағы заңнама талаптарына сәйкес ақпаратты және техникалық құралдарды қорғау тиімділігінің нормасын және олардың қорғалуын бағалау әдістемесіне сәйкес болады.

      5. HSM-мен негізгі ақпаратты мұрағаттау тек шифрланған түрде және шифрлау кілтін N-ден М схемасы бойынша бөлу арқылы ғана мүмкін болады (5-тің 3-інен кем емес). N-ден М схемасы бойынша шифрлау кілттері қорғалған токендерде сақталады, Мемлекеттік КО арналған N төкен ақпараттандыру саласындағы уәкілетті органда, ұлттық қауіпсіздік органдарында және КО-да тұрақты сақталады. Қорғалған таңбалауыштар HSM резервтік мұрағатын қалпына келтіру кезінде ғана қолданылады.

      6. ЭЦҚ жабық кілтін жасау және ЭЦҚ тіркеу куәлігін шығару алдында иеленуші дербес деректерді жинауға және өңдеуге келісім береді.

      Иеленуші:

      1) қашықтан, көп факторлы сәйкестендіруді қолдана отырып, әдістердің бірі биометриялық сәйкестендіру болып табылады;

      2) КО тіркеу орталығында биометриялық сәйкестендіруді пайдалана отырып, қажет болған жағдайда биометриялық деректерді жинау рәсімінен сәйкестендіруден өтеді, КО биометриялық деректерді сақтауды қамтамасыз етеді.

      Иеленуші бұлтты ЭЦҚ-да ЭЦҚ жабық кілтін сақтауға келісім береді.

      7. ЭЦҚ жабық кілті жасалғаннан кейін МЕМСТ 28147-89 стандартын қолдана отырып, HSM-де шифрланған түрде сақталады. Құпия мәндер ретінде КО-да сақталмайтын иеленуші анықтаған пароль қатысады. КО иеленушінің жеке кілтінің құпия сөзін тексеру үшін HSM-де пароль хэшін сақтайды.

3-тарау. Куәландырушы орталықта сақталатын ЭЦҚ жабық кілттерін пайдалану тәртібі

      8. КО-да сақталатын ЭЦҚ жабық кілттерін пайдалану кезінде иеленуші көп факторлы сәйкестендіруден өтеді, әдістердің бірі биометриялық сәйкестендіру болып табылады.

      9. Электрондық құжаттарға қол қою HSM жадында қол қойылған файлды немесе оның хэшін HSM-ге беру арқылы жүзеге асырылады.

      10. Иеленушіні КО-да сәйкестендіру кезінде иеленушіден парольді (браузер, мобильді қосымша) HSM-ге беру шифрланған түрде жүргізіледі, бұл ретте парольді шифрлау иеленушінің жағында, дербес компьютерде немесе смартфонда жүргізіледі.

      11. Бұлтты ЭЦҚ-да ЭЦҚ жабық кілтінен парольді қалпына келтіру жүзеге асырылмайды.

      12. КО иеленушіге бұлтты ЭЦҚ жабық кілтін, КО жеке кабинеті арқылы қол қойылған барлық электрондық құжаттар туралы ақпаратқа қол жеткізуді ұсынады. Барлық қол қойылған электрондық құжаттар туралы ақпаратты сақтау мерзімі иеленушінің тіркеу куәлігінің қолданылу мерзімі өткеннен кейін кемінде бір жылды құрайды.

      13. Тіркеу куәліктері иеленушілердің электрондық қолының жабық кілттерінің компрометациялау фактісі анықталған жағдайда, КО осы факті және келтірілген залалды барынша азайту бойынша қабылданған шаралар туралы ақпаратты өзінің интернет-ресурсында дереу жариялайды.

      14. КО келесі оқиғалардың хаттамалануын қамтамасыз етеді:

      1) бұлтты ЭЦҚ-мен ЭЦҚ жабық кілтін қалыптастыру;

      2) бұлтты ЭЦҚ-мен ЭЦҚ жабық кілтін пайдалану;

      3) бұлтты ЭЦҚ-мен ЭЦҚ жабық кілтін жою (өшіру).

      Жұмыс хаттамаларын сақтау мерзімі тіркеу куәлігінің қолданылу мерзімі өткен күннен бастап бір жылды құрайды.

      Іс-әрекеттерді хаттамалау кезінде мынадай ақпарат жазылады:

      1) иеленуші идентификаторы;

      2) күні, уақыты;

      3) оқиға.

      15. Оқиғалар хаттамалары күн сайын хэшке айналады және хэш деректері блокчейн оқиғалар тізбегінде сақталады. Бұл үшін қолданылатын блок Интернетте қол жетімді болады.

4-тарау. ЭЦҚ жабық кілттерін куәландырушы орталықта сақтау тәртібі

      16. КО КО-дағы ЭЦҚ жабық кілттерін қорғауды қамтамасыз етеді.

      17. ЭЦҚ жабық кілттерін бұлтты ЭЦҚ-да сақтау мерзімі Заңның 21-бабы 1-тармағының 2-1) тармақшасына сәйкес КО бекітетін КО тіркеу куәліктерін қолдану қағидаларында сипатталады.

      18. Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың (бұдан әрі – БТ) 92-тармағына сәйкес бұлтты ЭЦҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.

      19. Жабық кілттерді қорғау БТ-да сипатталған талаптарға сәйкес ұйымдастырушылық, бағдарламалық және техникалық іс-шаралар кешенімен қамтамасыз етіледі.

      20. КО көп факторлы аутентификациясыз бұлтты ЭЦҚ ЭЦҚ жабық кілттерін пайдалана отырып, электрондық құжаттарға қол қою мүмкіндігінің болмауын қамтамасыз етеді.

      Ескерту. 20-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 17.03.2023 № 95/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      21. Осы Қағидалардың талаптарын орындау Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 1 маусымдағы № 224/НҚ бұйрығымен бекітілген Куәландырушы орталықтарды аккредиттеуді жүргізу қағидаларына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 20815 болып тіркелген) сәйкес КО аккредиттеу кезінде қажетті шарт болып табылады.

On approval of the Rules for creation, use, and storage of electronic digital signature private keys in the certification center

Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated October 27, 2020 No. 405/НҚ. Registered with the Ministry of Justice of the Republic of Kazakhstan on October 30, 2020 No. 21549

       Unofficial translation

      In accordance with subparagraph 13-3) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan dated January 7, 2003 "On Electronic Document and Electronic Digital Signature" I HEREBY ORDER:

      1. To approve the attached Rules for the creation, use, and storage of private keys of electronic digital signature in the certification center.

      2. The Committee for Public Services of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan, in accordance with the established legislative procedure, shall ensure:

      1) state registration of this Order with the Ministry of Justice of the Republic of Kazakhstan;

      2) posting this Order on the Internet resource of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan after its official publication;

      3) within ten working days after the state registration of this Order with the Ministry of Justice of the Republic of Kazakhstan, submission to the Legal Department of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan the information on the implementation of the measures provided for in subparagraphs 1) and 2) of this paragraph.

      3. Control over the implementation of this Order shall be entrusted to the supervising Vice-Minister of Digital Development, Innovation, and Aerospace Industry of the Republic of Kazakhstan.

      4. This Order shall come into effect upon the expiration of ten calendar days after the day of its first official publication.

      Minister of Digital Development
Innovation and Aerospace
Industry of the Republic of Kazakhstan  		B. Mussin

      "AGREED"
Ministry of Trade and Integration of the
Republic of Kazakhstan

      "AGREED"
National Security Committee of the
Republic of Kazakhstan

  Approved
by Order of the Minister of Digital
Development, Innovation and
Aerospace Industry of the
Republic of Kazakhstan
dated October 27, 2020
No. 405/НҚ 

Rules for creation, use, and storage of private keys of electronic digital signature in the certification center

Chapter 1. General Provisions

      1. These Rules for creation, use, and storage of private keys of electronic digital signature in the certification center (hereinafter referred to as the Rules) have been developed in accordance with the Law of the Republic of Kazakhstan dated January 7, 2003 "On Electronic Document and Electronic Digital Signature" (hereinafter referred to as the Law) and shall determine the procedure for creation, using, and storing private keys of electronic digital signature in cloud services.

      2. The following concepts shall be used in these Rules:

      1) biometric authentication - a set of measures that identify a person based on physiological and invariable biological characteristics;

      2) blockchain - information and communication technology that ensures the immutability of information in a distributed data platform based on a chain of interconnected data blocks, set integrity confirmation algorithms and encryption tools;

      3) multifactor authentication - a method of authenticating a user using a combination of various parameters, including generating and entering passwords or authentication features (digital certificates, tokens, smart cards, one-time password generators, and biometric identification tools);

      4) certification center (hereinafter referred to as the CC) - a legal entity certifying the compliance of the public key of the electronic digital signature with the private key of the electronic digital signature, as well as confirming the authenticity of the registration certificate;

      5) owner of the registration certificate (hereinafter referred to as the Owner) - an individual or legal entity in whose name the registration certificate was issued, lawfully owning the private key corresponding to the public key specified in the registration certificate;

      6) electronic digital signature (hereinafter referred to as the EDS) - a set of electronic digital symbols created using an electronic digital signature and confirming the authenticity of an electronic document, its ownership, and invariability of its content;

      7) EDS public key - a sequence of electronic digital symbols available to any person and intended to confirm the authenticity of an electronic digital signature in an electronic document;

      8) EDS private key - a sequence of electronic digital symbols designed to create an electronic digital signature using electronic digital signature means;

      9) means of electronic digital signature - a set of software and hardware used to create and verify the authenticity of an electronic digital signature;

      10) cloud EDS - an information system of the CC that allows to create, use and store the private keys of the electronic digital signature of the owner in the HSM of the CC, where access to the private key is carried out by the owner through at least two authentication factors, one of which shall be biometric;

      11) hash - conversion of an array of input data of arbitrary length to the bit side of a fixed length.

      12) hardware cryptographic module (HardwareSecurityModule) (hereinafter referred to as the HSM) - a hardware cryptographic module designed to encrypt information and manage public and private EDS keys.

Chapter 2. The procedure for creation private EDS keys in the certification center

      3. Private EDS keys shall be created by the CC:

      1) on the carrier of the owner's key information, which shall be transferred to the owner;

      2) in the cloud EDS.

      4. Private EDS keys of cloud EDS shall be generated strictly within HSM. The private key shall not be retrieved in clear text from the HSM.

      Therewith the HSM shall:

      1) correspond to at least the third level of security in accordance with the requirements established by ST RK 1073-2007 “Means of cryptographic information protection. General technical requirements";

      2) be designed with physical perimeter security (anti-tamper security), using sensors to detect tampering and then remove key information required by the HSM.

      3) comply with the standards of protection efficiency and methods for assessing the security of information and technical means in accordance with the requirements of the current legislation of the Republic of Kazakhstan.

      5. Archiving of key information from HSM shall be possible only in encrypted form and only with the division of the encryption key according to the M out of N scheme (at least 3 out of 5). Encryption keys according to the M of N scheme shall be stored on secured tokens. For state CCs, N of tokens shall be permanently stored in the authorized body in the field of informatization, in the national security bodies, and at the CC. Protected tokens shall be used only when restoring an archive to a backup HSM.

      6. Before the creation of a private EDS key and issuing an EDS registration certificate, the owner shall grant consent to the collection and processing of personal data.

      The owner shall be authenticated:

      1) remotely, using multi-factor authentication, one of the methods shall be biometric authentication;

      2) at the registration center of the CC using biometric authentication, if necessary, having passed the procedure for collecting biometric data, the CC shall provide storage of biometric data.

      The owner shall grant consent to store the private EDS key in the CC cloud EDS.

      7. After creation, the private EDS key shall be saved in HSM in encrypted form using the GOST 28147-89 standard. In the function of the secret values, the password shall be used, set by the owner, which shall not be stored in the CC. The CC, to verify the password from the owner's private key, shall store the password hash in the HSM.

Chapter 3. The procedure for using private EDS keys stored in the certification center

      8. When using private EDS keys stored in the CC, the owner shall undergo multi-factor authentication, one of the methods shall be biometric authentication.

      9. Signing of electronic documents shall be carried out in the HSM memory by transferring the signed file or its hash to the HSM.

      10. When the owner is authenticated in the CC, the password shall be transferred from the owner (browser, mobile application) to the HSM in encrypted form, while the password is encrypted on the owner's side, in a personal computer or smartphone.

      11. Password recovery from the private EDS key in the cloud EDS shall not be performed.

      12. The CC shall provide the owner of the cloud EDS private key with access to information on all signed electronic documents through the CC's account. The storage period for information on all signed electronic documents shall be at least one year after the expiration of the owner's registration certificate.

      13. In case of revealing the fact of comprometation of the private keys of the electronic signature of the owners of registration certificates, the CC shall immediately publish information on this fact and the measures taken to minimize the damage caused on its Internet resource.

      14. CA shall provide logging of the following events:

      1) generating a private EDS key for a cloud EDS;

      2) use of the private EDS key of the cloud EDS;

      3) deletion (erasure) of the private EDS key of the cloud EDS.

      The storage period for the work protocols shall be one year from the date of the expiration of the registration certificate.

      When logging actions, the following information shall be recorded:

      1) owner ID;

      2) date, time;

      3) event.

      15. Event logs shall be converted daily into a hash and the hash data shall be stored in the blockchain event chain. The blockchain used for this shall be available on the Internet.

Chapter 4. The procedure for storing private EDS keys in the certification center

      16. The CC shall ensure the protection of the EDS private keys in the CC.

      17. The storage period for private EDS keys in the cloud EDS shall be described in the Rules for the application of CA registration certificates approved by the CC in accordance with subparagraph 2-1) of paragraph 1 of Article 21 of the Law.

      18. According to paragraph 92 of the Uniform requirements in the field of information and communication technologies and information security, approved by the Government of the Republic of Kazakhstan dated December 20, 2016 No. 832 (hereinafter referred to as ET), the cloud EDS software and hardware shall be located on the territory of the Republic of Kazakhstan.

      19. Protection of private keys shall be provided by a complex of organizational, software, and technical measures in accordance with the requirements described in ET.

      20. The CC shall ensure that it is impossible to sign electronic documents using the private EDS keys of the cloud EDS without the knowledge (authentication) of the owner.

      The CC that issued the registration certificate shall revoke it based on an appropriate notification in the following cases:

      1) at the request of the owner of the registration certificate or his representative;

      2) upon the establishment of the fact of submission of false information or an incomplete package of documents upon receipt of a registration certificate;

      3) death of the owner of the registration certificate;

      4) change of the last name, first name, or patronymic (if it is indicated in the identity document) of the owner of the registration certificate;

      5) change of the name, reorganization, liquidation of the legal entity - the owner of the registration certificate, change of the head of the legal entity;

      6) provided for by the agreement between the CC and the owner of the registration certificate;

      7) by a court decision that has entered into legal force.

      21. Fulfillment of the requirements of these Rules shall be a prerequisite for the accreditation of the CC in accordance with the Rules for the accreditation of certification centers approved by Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated June 1, 2020 No. 224/NҚ (registered in the State Registration Register of Regulatory Legal Acts under No. 20815).