BitLocker — встроенная функция шифрования в Windows, которая использует доверенный платформенный модуль (Trusted Platform Module, TPM) для безопасного управления ключами шифрования и автоматической разблокировки диска. По мере роста скорости накопителей криптографические операции стали оказывать всё более заметное влияние на производительность, поэтому Microsoft внедрила аппаратное ускорение BitLocker, которое существенно снизило нагрузку на центральный процессор.
Источник изображения: unsplash.com
Благодаря аппаратному ускорению большие объёмы операций шифрования могут быть перенесены на компоненты чипсета, оснащённые аппаратными модулями безопасности (Hardware Security Modules, HSM) и доверенными средами выполнения (Trusted Execution Environments, TEE), что значительно повышает криптографическую производительность. Это снижает загрузку центрального процессора (ЦП) и повышает общую производительность и отзывчивость системы.
«При включении BitLocker поддерживаемые устройства с NVMe-накопителями и одним из новых чипсетов с поддержкой разгрузки криптографии будут по умолчанию использовать аппаратное ускорение BitLocker с алгоритмом XTS-AES-256, — пояснила Microsoft. — Это включает автоматическое шифрование устройства, ручное включение BitLocker, включение на основе политик или включение на основе скриптов, за некоторыми исключениями».
Источник изображения: Microsoft
По данным Microsoft, в реальных тестах аппаратное ускорение BitLocker потребовало примерно на 70 % меньше циклов ЦП на операции ввода-вывода по сравнению с программной реализацией, хотя результаты могут различаться в зависимости от оборудования. В дополнение к повышению производительности, BitLocker теперь использует аппаратно защищённые ключи, снижая их уязвимость при кибератаках на ЦП и память и повышая общую безопасность наряду с защитой ключей на основе TPM.
Microsoft обратила внимание пользователей на то, что BitLocker по умолчанию работает в программном режиме, если используются неподдерживаемые алгоритмы, размеры ключей заданы вручную, корпоративные политики предписывают неподдерживаемый размер ключа или алгоритм, а также если включён режим FIPS, и платформа не сообщает о сертифицированных по FIPS возможностях криптографической разгрузки и обёртывания ключей.
Новая версия BitLocker доступна начиная с Windows 11 24H2 с сентябрьскими обновлениями и на Windows 11 25H2. Аппаратное ускорение шифрования уже поддерживается в системах Intel vPro, использующих процессоры Intel Core Ultra Series 3 (Panther Lake), поддержка других платформ будет добавлена в будущем. Пользователи могут проверить режим работы BitLocker, выполнив команду manage-bde -status и проверив информацию об «аппаратном ускорении» в разделе «Метод шифрования».