A Microsoft está implementando o BitLocker com aceleração por hardware no Windows 11 para lidar com as crescentes preocupações de desempenho e segurança, aproveitando os recursos do sistema em um chip e da CPU.
O BitLocker é o recurso nativo de criptografia de disco completo do Windows que protege os dados contra leitura sem a devida autenticação. Durante a inicialização normal do dispositivo, ele utiliza o Trusted Platform Module (TPM) para gerenciar com segurança as chaves de criptografia e desbloquear a unidade automaticamente.
A Microsoft afirma que, com o aumento do desempenho do armazenamento NVMe (Non-Volatile Memory Express), as operações criptográficas do BitLocker têm um impacto mais perceptível no desempenho de jogos e atividades de edição de vídeo.
Com a aceleração por hardware, as operações criptográficas em massa podem ser transferidas para componentes de sistema em um chip (SoC) equipados com módulos de segurança de hardware (HSMs) e ambientes de execução confiáveis (TEEs), melhorando significativamente o desempenho criptográfico. Isso, naturalmente, reduzirá o uso da CPU e melhorará o desempenho geral do sistema.
“Ao ativar o BitLocker, os dispositivos compatíveis com unidades NVMe, juntamente com um dos novos SoCs com capacidade de descarregamento de criptografia, usarão o BitLocker acelerado por hardware com o algoritmo XTS-AES-256 por padrão”,
explica a Microsoft .
“Isso inclui criptografia automática de dispositivos, ativação manual do BitLocker, ativação orientada por políticas ou ativação baseada em scripts, com algumas exceções.”
Em testes reais, o BitLocker com aceleração por hardware apresentou cerca de 70% menos ciclos de CPU por operação de E/S em comparação com o BitLocker baseado em software, embora os resultados variem de acordo com o hardware.
Além dos ganhos de desempenho, o BitLocker agora utiliza chaves protegidas por hardware, minimizando sua exposição a ataques cibernéticos à CPU e à memória e aprimorando a segurança geral juntamente com a proteção de chaves baseada no Trusted Platform Module (TPM).
A Microsoft afirma que isso coloca o mecanismo no caminho para eliminar as chaves do BitLocker da CPU e da memória.
.jpg)
O novo BitLocker está disponível a partir do Windows 11 24H2, se as atualizações de setembro estiverem instaladas, e no Windows 11 25H2.
O suporte inicial será oferecido aos sistemas Intel vPro que utilizam processadores Intel Core Ultra Series 3 (“Panther Lake”), mas outros fornecedores de SoC serão adicionados progressivamente.
Os usuários podem verificar o modo BitLocker executando o comando manage-bde -status e verificando se há informações sobre ‘Aceleração por hardware’ em Método de criptografia.
A Microsoft observa que o BitLocker usa por padrão o modo baseado em software se forem usados algoritmos não suportados, se os tamanhos das chaves forem especificados manualmente, se as políticas corporativas ditarem um tamanho de chave ou algoritmo não suportado e quando o modo FIPS estiver ativado e o SoC não reportar recursos de descarregamento criptográfico e encapsulamento de chaves com certificação FIPS.
