📋 R002 · Identidade TPM
Sintoma: O nó falha ao carregar ou gerar a identidade soberana. Logs mostram erros como
TPM Error,Permission denied on /dev/tpm0ouIdentity not found.
🔍 Diagnóstico
- Verifique a existência do dispositivo TPM:
ls -l /dev/tpm* - Verifique se o usuário tem permissão:
groups $USER | grep tss - Teste as capacidades do TPM:
tpm2_getcap properties-fixed | head -n 20
🛠️ Ação
Causa 1: Permissão Negada
Se /dev/tpm0 existir mas o acesso for negado:
- Ação: Adicione o usuário ao grupo
tss(ou o grupo dono do device) e reinicie a sessão:sudo usermod -aG tss $USER
Causa 2: TPM Bloqueado (Dictionary Attack Lockout)
Se o TPM estiver em modo de bloqueio por muitas tentativas falhas:
- Ação: Aguarde o tempo de lockout ou, se tiver a senha de owner, faça o reset:
tpm2_dictionarylockout --clear-lockout
Causa 3: Falta de suporte a PQC no TPM
Se o nó exige ML-DSA mas o TPM é antigo:
- Ação: O PAEBIRU tentará um fallback para armazenamento seguro via software se
PAEBIRU_ALLOW_SW_IDENTITY=trueestiver setado (não recomendado para produção).
✅ Verificação
- Execute
paebiru identity status. - O log deve mostrar:
SECURITY Identidade carregada via HardwarePassport (TPM 2.0).
🚨 Escalar
Se o erro persistir, verifique a versão do firmware do TPM e consulte a RFC 007 sobre Identidade Soberana.