Корпорация Microsoft представила в Windows 11 новую форму аппаратно-ускоренного шифрования BitLocker, перенося операции шифрования и дешифрования на специализированный криптографический ускоритель, встроенный в будущие процессоры, для повышения производительности и эффективности. Эта функция, впервые анонсированная на конференции Ignite 2025 в ноябре, была добавлена в последние версии Windows 11 (25H2) и Windows Server (2025 с сентябрьским обновлением) вместе с технологией UFS (Universal Flash Storage) Inline Crypto Engine. Новая технология призвана компенсировать снижение производительности, которое Microsoft навязала своим пользователям, принудительно используя программное шифрование по умолчанию, предлагая двукратное увеличение производительности хранилища для некоторых типов рабочих нагрузок.
Согласно нашим тестам и документации поддержки, программное шифрование BitLocker включено по умолчанию в новых установках Windows 11 Pro. Оно снижает производительность SSD до 45%, поскольку шифрование и дешифрование обрабатываются программным обеспечением, работающим на центральном процессоре. Аппаратно-ускоренный BitLocker уже доступен для устройств хранения, при этом разгрузка шифрования обрабатывается на самом устройстве хранения, будь то SSD или HDD, при условии, что оно соответствует стандарту TCG Opal. Большинство современных SSD включают аппаратное шифрование, в котором вся обработка шифрования/дешифрования происходит непосредственно на диске без ущерба для производительности.
Однако Microsoft, оставаясь верной себе, предпочла принудительно включить программную версию BitLocker для новых установок Windows Pro, что негативно сказалось на производительности и времени автономной работы. Использовать аппаратное шифрование SSD можно только после выполнения сложной и практически не документированной последовательности действий.
Теперь компания планирует использовать новую аппаратную реализацию BitLocker на базе CPU для решения созданной ею проблемы, но для ее появления потребуется время.
Аппаратно-ускоренный BitLocker первоначально будет доступен на устройствах Windows 11 с платформами Intel vPro на базе будущих процессоров Intel Core Ultra series 3 “Panther Lake”, с планами по расширению поддержки в дальнейшем. Ожидается, что последняя версия BitLocker будет использовать новые возможности будущих чипов, включая криптографическую разгрузку, при которой основная часть криптографических операций будет перенесена из программного обеспечения, работающего на центральном процессоре, в выделенный криптографический движок с фиксированной функцией. Кроме того, ключи массового шифрования BitLocker будут аппаратно обернуты на отдельных SoC для повышения безопасности за счет снижения уязвимости к CPU и памяти.
Рафал Сосновски из Microsoft заявил в сообщении в блоге: “При включении BitLocker поддерживаемые устройства с NVMe-накопителями и одной из новых SoC с криптографической разгрузкой будут использовать аппаратно-ускоренный BitLocker с алгоритмом XTS-AES-256 по умолчанию. Это включает в себя автоматическое шифрование устройства, ручное включение BitLocker, включение на основе политик или включение на основе скриптов, за некоторыми исключениями“.
Microsoft утверждает, что аппаратно-ускоренный BitLocker может обеспечить повышение производительности хранилища и показателей ввода-вывода, таких как последовательное и случайное чтение и запись, по сравнению с программным BitLocker. Кроме того, пользователи могут ожидать до 70% снижения количества циклов CPU, необходимых для обработки рабочих нагрузок BitLocker, что приведет к увеличению времени автономной работы.
Компания также поделилась результатами тестов производительности CrystalDiskMark в видео, показывая, что диск с программным шифрованием BitLocker достиг скорости чтения 1632 МБ/с при однопоточных последовательных рабочих нагрузках, по сравнению с 3746 МБ/с на диске с включенным аппаратным BitLocker. Аналогично, скорость записи увеличилась до 3530 МБ/с с 1510 МБ/с.
На данный момент аппаратно-ускоренный BitLocker будет зарезервирован для будущих ПК с Windows, поэтому широкое распространение займет время. Тем не менее, внедрение этой функции указывает на то, что Microsoft, наконец, переосмысливает то, как должно работать шифрование на современном оборудовании.
(*) Имейте ввиду: редакции некоторых изданий могут придерживаться предвзятых взглядов в освящении новостей.
8/6
Автор – Kunal Khullar
