O BitLocker é um recurso de criptografia integrado ao Windows que usa o Trusted Platform Module (TPM) para gerenciar chaves de criptografia com segurança e desbloquear automaticamente sua unidade. Com o aumento da velocidade das unidades, as operações criptográficas começaram a ter um impacto perceptível no desempenho. Por isso, a Microsoft implementou aceleração de hardware para o BitLocker, reduzindo significativamente a carga na CPU.
Fonte da imagem: unsplash.com
A aceleração por hardware permite que grandes volumes de operações de criptografia sejam descarregados para componentes do chipset equipados com módulos de segurança de hardware (HSMs) e ambientes de execução confiáveis (TEEs), melhorando significativamente o desempenho criptográfico. Isso reduz a utilização da CPU e melhora o desempenho e a capacidade de resposta geral do sistema.
“Quando o BitLocker está ativado, os dispositivos compatíveis com unidades NVMe e um dos novos chipsets que suportam a descarga criptográfica usarão por padrão o BitLocker com aceleração por hardware com o algoritmo XTS-AES-256”, explicou a Microsoft. “Isso inclui criptografia automática do dispositivo, ativação manual do BitLocker, ativação baseada em política ou ativação baseada em script, com algumas exceções.”
Fonte da imagem: Microsoft
De acordo com a Microsoft, em testes práticos, a aceleração de hardware do BitLocker exigiu aproximadamente 70% menos ciclos de CPU para operações de E/S em comparação com uma implementação de software, embora os resultados possam variar dependendo do hardware. Além do desempenho aprimorado, o BitLocker agora usa chaves protegidas por hardware, reduzindo sua vulnerabilidade a ataques cibernéticos na CPU e na memória e aprimorando a segurança geral juntamente com a proteção de chaves baseada em TPM.
A Microsoft alertou os usuários que o BitLocker utiliza o modo de software por padrão se algoritmos não suportados forem usados, se os tamanhos das chaves forem configurados manualmente, se as políticas corporativas exigirem um tamanho de chave ou algoritmo não suportado ou se o modo FIPS estiver ativado e a plataforma não reportar recursos de descarregamento criptográfico e encapsulamento de chaves com certificação FIPS.
A nova versão do BitLocker está disponível a partir do Windows 11 24H2 com as atualizações de setembro e no Windows 11 25H2. A criptografia acelerada por hardware já é suportada em sistemas Intel vPro com processadores Intel Core Ultra Series 3 (Panther Lake), e espera-se que o suporte para outras plataformas seja adicionado futuramente. Os usuários podem verificar o modo de operação do BitLocker executando o comando `manage-bde -status` e verificando as informações de “aceleração por hardware” em “Método de criptografia”.