Microsoft внедряет аппаратное ускорение BitLocker в Windows 11, чтобы решить проблемы производительности и безопасности. В тестах оно показало примерно на 70% меньше циклов ЦП на операцию ввода-вывода по сравнению с программной версией.

BitLocker — это встроенная функция шифрования всего диска в Windows, которая защищает данные от чтения без надлежащей аутентификации. Во время обычной загрузки устройства она использует модуль доверенной платформы (TPM) для безопасного управления ключами шифрования и автоматической разблокировки диска.

Microsoft заявляет, что по мере повышения производительности накопителей NVMe криптографические операции BitLocker оказывают более заметное влияние на производительность в играх и видеомонтаже. Благодаря аппаратному ускорению, большие объемы криптографических операций могут быть перенесены на компоненты систем на кристалле (SoC), оснащённые аппаратными модулями безопасности (HSM) и доверенными средами выполнения (TEE). Это снизит загрузку ЦП и улучшит общую производительность системы. «При включении BitLocker поддерживаемые устройства с NVMe-накопителями и одним из новых SoC с поддержкой криптографического ускорения будут по умолчанию использовать версию с аппаратным ускорением и алгоритмом XTS-AES-256», — поясняет Microsoft.

Система включает автоматическое шифрование устройства, ручное включение BitLocker, включение на основе политик или включение на основе скриптов, за некоторыми исключениями.

В дополнение к повышению производительности, BitLocker теперь использует аппаратно защищённые ключи, минимизируя их уязвимость для кибератак на ЦП и память. Microsoft заявляет, что это приближает механизм к исключению ключей BitLocker из процессора и памяти. 

Новый BitLocker доступен начиная с Windows 11 24H2, если установлены сентябрьские обновления, а также в Windows 11 25H2. Первоначальная поддержка появится в системах Intel vPro, использующих процессоры Intel Core Ultra Series 3 («Panther Lake»), а поддержка других производителей SoC будет добавляться постепенно.

Пользователи могут узнать свой режим BitLocker, выполнив команду manage-bde -status и проверив информацию об «аппаратном ускорении» в разделе «Метод шифрования».

Microsoft отмечает, что BitLocker по умолчанию работает в программном режиме, если используются неподдерживаемые алгоритмы, размеры ключей заданы вручную, корпоративные политики предписывают неподдерживаемый размер ключа или алгоритм, а также когда включён режим FIPS, и SoC не сообщает о сертифицированных FIPS возможностях криптографической разгрузки и упаковки ключей.

В ноябре Microsoft подтвердила, что часть ПК загружаются в режиме восстановления BitLocker после установки последних обновлений безопасности за октябрь 2025 года для Windows 10 22H2, Windows 11 24H2 и Windows 11 25H2. Проблема в первую очередь затрагивала компьютеры на базе процессоров Intel с режимом Modern Standby, который обеспечивает фоновую активность в спящем режиме. Она не приводила к повреждению данных, если знать свой ключ BitLocker.