Microsoft внедряет BitLocker с аппаратным ускорением в Windows 11, чтобы решить проблемы с производительностью и безопасностью за счёт использования возможностей однокристальной системы и центрального процессора.
BitLocker — это встроенная в Windows функция полного шифрования диска, которая защищает данные от несанкционированного доступа. При обычной загрузке устройства она использует доверенный платформенный модуль (TPM) для безопасного управления ключами шифрования и автоматической разблокировки диска.
Microsoft утверждает, что по мере повышения производительности накопителей с интерфейсом NVMe (Non-Volatile Memory Express) криптографические операции BitLocker стали оказывать более заметное влияние на производительность при играх и редактировании видео.
Благодаря аппаратному ускорению основные криптографические операции могут быть переложены на компоненты системы на кристалле (SoC), оснащённые аппаратными модулями безопасности (HSM) и доверенными средами выполнения (TEE), что значительно повышает производительность криптографических операций. Это естественным образом снижает нагрузку на центральный процессор и повышает общую производительность системы.
«При включении BitLocker поддерживаемые устройства с накопителями NVMe и одним из новых процессоров с поддержкой криптографической разгрузки будут по умолчанию использовать BitLocker с аппаратным ускорением и алгоритмом XTS-AES-256» поясняет Microsoft.
«Это включает в себя автоматическое шифрование устройства, включение BitLocker вручную, включение на основе политик или включение с помощью скриптов, за некоторыми исключениями».
В ходе реальных тестов BitLocker с аппаратным ускорением потреблял примерно на 70 % меньше процессорных циклов на операцию ввода-вывода по сравнению с BitLocker на программном обеспечении, хотя результаты зависят от аппаратного обеспечения.
Помимо повышения производительности, BitLocker теперь использует аппаратно защищённые ключи, что сводит к минимуму их уязвимость для кибератак на процессор и память и повышает общую безопасность наряду с защитой ключей на основе доверенного платформенного модуля (TPM).
Microsoft заявляет, что это позволит механизму удалять ключи BitLocker из процессора и памяти.
Источник: Microsoft
Новый BitLocker доступен начиная с Windows 11 24H2, если установлены сентябрьские обновления, и в Windows 11 25H2.
Первоначальная поддержка будет осуществляться в системах Intel vPro с процессорами Intel Core Ultra Series 3 («Panther Lake»), но постепенно будут добавляться и другие производители SoC.
Пользователи могут проверить режим BitLocker, выполнив команду manage-bde -status и проверив наличие информации «Аппаратное ускорение» в разделе «Метод шифрования».
Microsoft отмечает, что BitLocker по умолчанию работает в программном режиме, если используются неподдерживаемые алгоритмы, размер ключей указан вручную, корпоративные политики диктуют использование неподдерживаемого размера ключа или алгоритма, а также если включен режим FIPS и SoC не сообщает о возможностях криптографической разгрузки и упаковки ключей, сертифицированных по стандарту FIPS.