Home Assistent: Wie Verschlüsselungscode von Backup auslesen?

[elknipso]

Hallo,

meine Home Assistent Installation hat sich nach einem Update wohl geschrottet siehe der andere Thread.
Nun ist es mir gelungen über die SD Karte an die automatischen Backups zu gelangen und wollte diese nun einspielen. Mit erschrecken musste ich dabei feststellen, dass diese verschlüsselt sind und mir der Verschlüsselungscode nicht bekannt ist.

Ich habe ein altes Backup aus 03.02.2025 bei dem ich den Verschlüsselungscode dokumentiert habe, aber dieser lässt sich nicht für die neueren Backups verwenden.

Da Home Assistent noch in die Konsole bootet wäre die Frage mit welchem Befehl kann ich den "aktuellen" Verschlüsselungscode auslesen mit dem ich Zugriff auf die aktuellen Backups von den letzten Tagen erhalten kann?

 

[gaym0r]

kann ich den "aktuellen" Verschlüsselungscode auslesen mit dem ich Zugriff auf die aktuellen Backups von den letzten Tagen erhalten kann?

Nein.

Aber wenn du doch Zugriff auf die CLI hast kannst du doch alle Config Files exportieren.

 

[elknipso]

Kannst Du den Punkt bitte näher ausführen?

Ziel ist es, dass alles wieder so laufen soll wie vorher. Da bisher alle Versuche in dem anderen Thread nicht zum Ziel geführt haben, dass HA wieder funktioniert und ich weder per App noch Web Zugriff darauf erhalte, hielt ich es für eine zielführende Idee einfach über die SD-Karte mir die Backups zu ziehen und diese (auf einer neuen SD-Karte) wiederherzustellen. Bei dem Punkt hat mir nun der Verschlüsselungscode einen Strich durch die Rechnung gemacht.

Daher wie gehe ich nun am sinnvollsten vor?

 

[gaym0r]

@elknipso
Installier Home Assistant anderswo neu (z.B. testweise als VM auf deinem PC) und kopiere ~/.homeassistant von deinem kaputten Home-Assistant Server auf deinen neuen. Testen, obs wieder läuft und dann weitermachen.

 

[CubeID]

Kannst du die SD-Karte klonen? Ich probier es grad an einer Test-HA-VM ein Restore über die CLI, mal schauen ob das geht ohne den Key wenn das Backup verschlüsselt ist.
Die Option musst ist bei meinem Test-HA eben noch manuell in den Optionen aktivieren, sicher dass die das gemacht hattest ohne den Key zu speichern?

Ergänzung (24. August 2025)

@elknipso
Wie sieht der Recovery Key vom Aufbau bei dir aus? Bei mir sind es sieben Blöcke à vier ZIffern/Buchstaben, jeweils mit einem Minus getrennt.

Bevor du noch was machst, probier in der CLI noch ha core restart --safe-mode
Damit sollte nix außer HA geladen werden (keine Addons etc), eventuell kommst du so noch in dein HA per Web rein?

Mit der CLI kann man sich mit dem Befehl backps die vorhandenen Backups anzeigen lassen. Dort nach dem Slug eintrag vom gewünschten Backup schauen.
Mit backup restore <backup-slug-name> --folders homeassistant --password <key>
bei --password am Ende mit bei <key> dein Verschlüsselungscode rein.
Mit --folders homeassistant lädt er nur die HA Sachen aus dem Backup. Falls ein Addon zicken macht könntest du das mit --addon <name> aus einem Backup laden, wobei das spaßig bei den Namen werden wird.

 

[elknipso]

Ich konnte das Problem mit der Verschlüsselung lösen und nachträglich an den Wiederherstellungscode gelangen.


Wie dieses gelöst wurde möchte ich hier kurz zusammenfassen für Nutzer die später auf den Thread stoßen und das gleiche Problem haben.

Das Problem lässt sich folgendermaßen lösen wenn man noch Zugriff auf die SD Karte hat:

Der Verschlüsselungscode steckt in der Backup /config/.storage/backup hinter dem Abschnitt “password”. Den Tipp habe ich in einem anderen Forum nach langer Recherche bekommen und damit könnte ich in einer frischen Installation nun mein letztes Backup einspielen und alles funktioniert wieder so wie vorher.

 

[DHC]

Da frage ich mich, wozu hier etwas verschlüsselt ist, wenn der Key so einfach zugänglich ist.
Da macht ja eine Verschlüsselung recht wenig Sinn.

 

[CubeID]

Wenn man "physikalisch" an ein System rankommt, findet sich eigentlich fast immer ein Weg wie man um die Verschlüsselung herum kommt, mal mehr, mal weniger aufwändig.
Da HA selber nicht verschlüsselt ist, ist es hier ein einfacher Weg, was auch nicht die Intension war/ist:
Man wollte verhindern, dass man nur mit einem Backupfile einen Restore machen kann und so ggf. an sensible Daten wie u.a. Logins kommt. D.h. nicht, dass das System woher das verschlüsselte Backup kommt urplötzlich unantastbar wird.

 

[elknipso]

Da frage ich mich, wozu hier etwas verschlüsselt ist, wenn der Key so einfach zugänglich ist.
Da macht ja eine Verschlüsselung recht wenig Sinn.

Auf die Idee ist wohl ein Entwickler bei Home Assistant während eines Fiebertraums gekommen. Anders ist eine derart dumme, geradezu grob fahrlässige Entscheidung nicht zu erklären wenn man dem Anwender per Update sowas unterschiebt.

 

[CubeID]

Na, da wäre ich mal nicht so eillig. Nicht falsch verstehen, ich kann dein Unmut nachvollziehen.

Auf die Idee ist wohl ein Entwickler bei Home Assistant während eines Fiebertraums gekommen. Anders ist eine derart dumme, geradezu grob fahrlässige Entscheidung nicht zu erklären wenn man dem Anwender per Update sowas unterschiebt.

Das willst du jetzt nicht hören, das Versäumnis seh ich leider hier auf deiner Seite:
Es gibt zu jedem Monatsupdate einen Changelog (den man in dem Update-Popup in HA auch als Link hat wenn es mich nicht täuscht?), wenn man Zeit hat ein oft sehr langes Releaseparty-Video von Nabu Casa und diverse News-Seiten als auch Youtuber welche die Monatsupdates in Deutsch und Englisch durchkauen bzgl. (Breaking) Changes. Wie viele Infos brauchst du noch?
Gerade bei den ersten drei/vier Releases dieses Jahr erinnere ich mich, dass da immer was am Backup gedreht wurde. Wenn man die Update mehr oder weniger bind installiert ohne in den Changlog zu schauen, darf man sich nicht beschweren wenn etwas nicht mehr geht... Es bist leider du der für das System und das Patchen verantwortlich ist, nicht die.

Hinfallen, aufstehen, daraus lernen und weiter- bzw. besser machen.
Ein Backup ist nicht mit dem Erstellen getan, ab und an sollte man probieren ob es auch wiederherstellbar ist.
Ohne Testen ist es das Backup wie Schrödingers Katze: dead or alive - man weiß es nicht 😉

 

[elknipso]

Grundsätzlich verstehe ich Deinen Standpunkt, der ist jedoch aus Sicht einer intuitiven Benutzerführung und am Ende des Tages einer guten Unternehmensführung falsch und nicht zu Ende gedacht.
Unsere Programmierer argumentieren gerne ähnlich, dann sage ich ihnen das gleiche was ich Dir sage.

Die Benutzer einer Software sind Anwender, keine IT-Profis die den ganzen Tag nichts anderes machen als Software programmieren. Sondern ganz normale Anwender die eine funktionierende, intuitiv zu bedienende Software erwarten und ganz sicher keine Logdateien zu jedem Update alle paar Wochen lesen oder gar irgendwelche Youtube Kanäle für so etwas banales wie eine Smart Home Software verfolgen. Normale Anwender interessieren sich weder für solche Themen noch haben sie die Zeit dazu.

Sie erwarten, dass die Software einfach funktioniert und das tut was sie die ganze Zeit schon getan hat.
Im konkreten Fall wenn man unbedingt der Meinung ist plötzlich Backups verschlüsseln zu müssen gehört ein deutlicher Dialog nach dem Update hin der darauf hinweist, deutlich den Schlüssel ausweist mit einem Haken in Richtung "ja ich habe das gelesen und den Wiederherstellungsschlüssel gespeichert" und an genau diese Stelle gehört dann auch ein dicker Button mit dem man diesen Unsinn direkt wieder deaktivieren kann.

Programmierer die diesen Grundsatz nicht verstehen, sind schlechte Entwickler die ihren Job verfehlt haben.

 

[CubeID]

Hast du ein Nabu Casa Abo, damit deine Erwartungshaltung gerechtfertigt ist und von einem Programmierer zu deinen Qualitätsansprüchen umsetzt werden?

Die Updates sind - wie du feststellen musstest - eben nicht immer "banal". Den Changelog gibt es nicht ohne Grund, es ist eben nix für den gemeinen Anwender. Wem das Verfolgen des Changelogs (in welcher Form auch immer) zuviel Arbeit ist > falsche Plattform.

Das kenne ich aus dem Unternehmsumfeld auch nicht anders, als Verantwortlicher für eine Software / Plattform schaut man sich vor Updates an was sich ändert oder was Voraussetzungen sind. Tu ich das nicht und es knallt > mein Fehler. Geh mal zu einem großen Hersteller wie MS und sag, dass nach einem Update was nicht geht was sie bei den Updatevoraussetzungen drin stehen haben. Die lachen da nur, wenn du Glück hast darfst du für Geld bei denen Support kaufen wo sie versuchen dir zu helfen 😂