Se c’e una cosa che ho imparato a forza di smontare e rimontare configurazioni Home Assistant e questa: finche tutto funziona, i backup li ignori. Ma il giorno in cui ne hai bisogno davvero, in quel momento capisci quanto valgono. Ed e proprio per questo che la notizia di questi giorni merita attenzione, anche se a prima vista sembra “roba da sviluppatori”.
Il team di Home Assistant ha annunciato un aggiornamento importante al sistema di crittografia dei backup: si chiama SecureTar v3, e arrivera ufficialmente con la versione 2026.4, prevista per il 1 aprile 2026.
Fonte originale: Modernizing encryption of Home Assistant backups — Home Assistant Official Blog, 26 marzo 2026. Autori: Erik Montnemery e Stefan Agner.
Perche cambiare qualcosa che gia funzionava?
I backup di Home Assistant erano gia cifrati di default, e la passphrase generata automaticamente era gia di per se lunga e robusta — abbastanza da rendere un attacco brute-force praticamente impossibile in termini di tempo. Quindi nessun allarme: i tuoi backup precedenti non sono compromessi.
Il problema era piu sottile: il metodo usato per derivare la chiave di cifratura dalla passphrase — cioe il passaggio che trasforma la tua password nella chiave vera e propria usata per cifrare i dati — era basato su uno standard ormai datato. A sollevare la questione per primo e stato Sam Gleske, contributor della community, che ha segnalato il problema al team. Nessuna vulnerabilita critica, ma la crittografia moderna ha fatto passi avanti e il team ha voluto adeguarsi — prima che diventasse un problema, non dopo.
Cosa cambia concretamente con SecureTar v3
Il nuovo sistema introduce tre miglioramenti principali rispetto alle versioni precedenti.
Il primo riguarda la derivazione della chiave: si passa ad Argon2id, un algoritmo moderno e “memory-hard”, cioe progettato per essere volutamente lento e costoso da eseguire in parallelo. Tradotto in pratica: un attaccante che volesse provare milioni di password a forza bruta troverebbe il processo enormemente piu difficile rispetto al passato.
Il secondo miglioramento riguarda la cifratura vera e propria: viene adottato XChaCha20-Poly1305 tramite la libreria libsodium (esposta in Python tramite PyNaCl), che garantisce sia la riservatezza dei dati che la loro integrita. Questo tipo di cifratura autenticata — in gergo AEAD — e considerato oggi lo standard di riferimento.
Il terzo punto riguarda la robustezza del parsing: in passato, un file di backup corrotto poteva essere silenziosamente trattato come un vecchio formato valido. Ora invece viene restituito un errore esplicito, evitando comportamenti ambigui che potrebbero mascherare problemi reali.
Il repository ufficiale della libreria e disponibile su SecureTar su GitHub.
L’audit indipendente di Trail of Bits
Questa e la parte che piu ha colpito nell’annuncio. Il team non si e limitato a implementare le novita e pubblicarle: ha commissionato una revisione di sicurezza indipendente a Trail of Bits, una delle societa piu rispettate nel campo della security engineering.
L’audit ha identificato tre punti da migliorare — nessuno critico, due classificati come “informativi” e uno di livello medio. Tutti e tre sono stati risolti prima del rilascio, e Trail of Bits lo ha confermato in una revisione successiva.
Il report completo e pubblicamente disponibile: Trail of Bits — SecureTar v3 Security Review (PDF).
Questo approccio — implementare, far controllare da terzi, correggere e poi rilasciare — e esattamente quello che ci si aspetta da un progetto open source serio che gestisce dati sensibili come le configurazioni di una casa connessa. Il costo dell’audit e stato sostenuto dall’Open Home Foundation, l’ente no-profit che governa il progetto Home Assistant.
Devi fare qualcosa?
Nella maggior parte dei casi, no. L’aggiornamento e automatico: ogni backup creato dopo l’installazione di HA 2026.4 usera automaticamente il nuovo formato SecureTar v3. I vecchi backup rimangono accessibili e sicuri.
Ci sono pero due situazioni in cui vale la pena agire:
- Se hai impostato manualmente una passphrase corta o debole, dovresti cambiarla. Lo trovi nelle impostazioni backup, voce Cambia chiave di cifratura.
- Se usi strumenti da riga di comando come
ha backupo le azionihassio.backup_full/hassio.backup_partialcon password personalizzate a bassa entropia, conviene aggiornare la password.
Per tutti gli altri: aggiorna a 2026.4 appena esce, e il gioco e fatto.
Perche questa notizia conta davvero
Potrebbe sembrare un aggiornamento “sotto il cofano”, roba da ignorare. Ma i backup di Home Assistant contengono potenzialmente password, chiavi API, configurazioni di automazioni, token di servizi cloud. Sono dati sensibili, e un sistema di cifratura all’altezza dei tempi e tutt’altro che una cosa secondaria.
Il fatto che il progetto abbia investito in un audit esterno — pagato con i fondi dell’Open Home Foundation, che a sua volta si regge anche sugli acquisti di prodotti ufficiali — dice qualcosa di importante sulla direzione del progetto: sicurezza come priorita, non come ripensamento.
Aggiornerai a 2026.4 appena esce? Fammi sapere nei commenti.
Fonti e riferimenti
- Modernizing encryption of Home Assistant backups — Annuncio ufficiale Home Assistant
- home-assistant-libs/securetar — Repository SecureTar (GitHub)
- SecureTar v3 Security Review (PDF) — Report audit Trail of Bits
- openhomefoundation.org — Open Home Foundation
- trailofbits.com — Trail of Bits
- Security audits of Home Assistant — Precedente audit HA 2023
Questo articolo e basato sull’annuncio ufficiale pubblicato dal team di Home Assistant il 26 marzo 2026, a firma di Erik Montnemery e Stefan Agner. Tutti i crediti tecnici e di ricerca appartengono agli autori originali e al team Open Home Foundation.
