Microsoft ускоряет BitLocker: шифрование в Windows 11 переходит на аппаратный уровень
Microsoft провела значительное обновление встроенной системы шифрования BitLocker в актуальных сборках Windows 11. Изменения направлены на решение давней проблемы — снижения производительности накопителей при активной защите данных. Обновление задействует аппаратные модули безопасности (HSM) и доверенные среды выполнения (TEE). Эти компоненты, встроенные в современные процессоры, берут на себя выполнение ресурсоемких задач по шифрованию и дешифрованию данных в реальном времени.
Новый подход позволяет сократить количество циклов использования центрального процессора в операциях ввода-вывода примерно на 70% по сравнению с традиционной программной реализацией, что особенно заметно при работе с быстрыми NVMe-накопителями. На первом этапе аппаратное ускорение BitLocker доступно только для бизнес-платформ Intel vPro, использующих процессоры Intel Core Ultra Series 3, при этом Microsoft обещает постепенно расширять список поддерживаемых систем.
Помимо производительности, обновление повышает уровень защиты. Ключи шифрования теперь хранятся и обрабатываются непосредственно в аппаратных модулях, что минимизирует их уязвимость к потенциальным атакам через память или центральный процессор, что дополняет существующую защиту на основе Trusted Platform Module (TPM).
Важно отметить, что система автоматически вернется к программному методу шифрования в нескольких случаях: если используется неподдерживаемый алгоритм, вручную задан размер ключа, действуют корпоративные политики с несовместимыми настройками или включен режим FIPS при отсутствии соответствующей сертификации у аппаратного модуля.
Внедрение аппаратного ускорения для BitLocker знаменует постепенный отход от чисто программных методов криптографической защиты в пользу решений, тесно
