A Microsoft está implementando uma evolução em seu sistema de segurança nativo com a introdução do BitLocker com aceleração por hardware para o Windows 11. Esta novidade, disponível a partir da atualização de setembro de 2025 para a versão 24H2 e no lançamento da versão 25H2, visa resolver o impacto de desempenho da criptografia de disco completa em unidades NVMe de alta velocidade.
Uma solução para o problema do desempenho
O BitLocker, a funcionalidade de criptografia de disco nativa do Windows, tem tradicionalmente mantido sua sobrecarga de desempenho em baixos dígitos percentuais. No entanto, com a adoção massiva do armazenamento NVMe, que oferece velocidades de transferência de dados extremamente altas, as operações criptográficas em software começaram a consumir uma proporção maior de ciclos da CPU. Isso tornou o impacto mais perceptível em cargas de trabalho intensivas em E/S, como edição de vídeo, compilação de código e jogos, onde os usuários esperam a máxima responsividade do sistema.
A nova abordagem da Microsoft transfere as pesadas operações criptográficas do BitLocker da CPU principal para um módulo de segurança de hardware (HSM) dedicado, integrado no System-on-a-Chip (SoC) ou na CPU do dispositivo. Este “descarregamento criptográfico” (crypto offloading) oferece dois benefícios principais:
- Mais desempenho: Segundo os testes da Microsoft, o BitLocker acelerado por hardware pode atingir desempenho de armazenamento próximo ao de uma unidade NVMe sem criptografia. A empresa reporta uma economia média de 70% nos ciclos de CPU por operação de E/S em comparação com a versão em software.
- Mais segurança: Além do ganho de velocidade, as chaves de criptografia em massa do BitLocker agora podem ser protegidas pelo próprio hardware do SoC. Este “encapsulamento por hardware” reduz a exposição das chaves a possíveis vulnerabilidades na CPU e na memória, complementando a proteção já fornecida pelo Módulo de Plataforma Confiável (TPC). A Microsoft afirma que esta é uma etapa no caminho para eliminar as chaves do BitLocker da CPU e da memória.
Disponibilidade e verificação
Inicialmente, o suporte será disponibilizado em dispositivos Intel vPro com processadores Intel Core Ultra Série 3 (codenome “Panther Lake”). A Microsoft planeja expandir o suporte para outros fornecedores de SoC progressivamente.
A ativação é automática para dispositivos compatíveis que habilitarem o BitLocker, utilizando por padrão o algoritmo XTS-AES-256. Os usuários podem verificar se estão utilizando a nova funcionalidade executando o comando manage-bde -status no Prompt de Comando (como administrador) e procurando por “Hardware accelerated” na seção “Encryption Method”.
Ajude o Diolinux a seguir independente e crescente: seja membro Diolinux Play e tenha acesso a benefícios exclusivos!