A Microsoft está lançando a versão com aceleração por hardware do BitLocker no Windows 11, visando aprimorar desempenho e segurança ao aproveitar os recursos oferecidos pelo system-on-a-chip (SoC) e pela CPU.
O BitLocker é a solução nativa de criptografia de disco completo do Windows, que protege os dados contra acessos não autorizados, exigindo autenticação adequada.
Durante a inicialização do dispositivo, ele utiliza o Trusted Platform Module (TPM) para gerenciar com segurança as chaves de criptografia e desbloquear automaticamente o disco.
Com a popularização dos discos NVMe (Non-Volatile Memory Express), que oferecem alta performance, as operações criptográficas do BitLocker passaram a impactar mais o desempenho em atividades como jogos e edição de vídeo.
A aceleração por hardware permite que as operações criptográficas mais pesadas sejam processadas diretamente pelos componentes do SoC, que contam com módulos de segurança de hardware (HSMs) e ambientes de execução confiáveis (TEEs).
Isso resulta em ganhos expressivos de performance, redução do uso da CPU e melhora geral no funcionamento do sistema.
Segundo a Microsoft, “ao ativar o BitLocker, dispositivos compatíveis com drives NVMe e SoCs que suportam offload criptográfico utilizarão por padrão o BitLocker acelerado por hardware, com o algoritmo XTS-AES-256”.
Esse recurso vale para criptografia automática do dispositivo, ativação manual, políticas ou scripts, com algumas exceções.
Testes práticos indicam que o BitLocker com aceleração por hardware exige cerca de 70% menos ciclos de CPU por operação de I/O em comparação à versão tradicional baseada em software, embora os ganhos possam variar conforme o hardware.
Além do aumento de desempenho, a nova versão do BitLocker passa a usar chaves protegidas por hardware, reduzindo a exposição a ataques direcionados à CPU e à memória.
Essa medida reforça a segurança em conjunto com a proteção já oferecida pelo TPM.
A Microsoft afirma que essa evolução visa eliminar o uso das chaves do BitLocker na CPU e na memória, minimizando riscos.
A funcionalidade está disponível a partir da versão 24H2 do Windows 11, após as atualizações de setembro, e também na 25H2.
O suporte inicial contempla sistemas Intel vPro com processadores Intel Core Ultra Series 3 ("Panther Lake"), com expectativa de ampliação para outros fabricantes de SoCs.
Para verificar o modo utilizado pelo BitLocker, o usuário pode executar o comando **manage-bde -status** e conferir a informação “Hardware accelerated” no campo Encryption Method.
A Microsoft ressalta que o BitLocker mantém a operação por software quando há uso de algoritmos não suportados, chaves com tamanhos especificados manualmente, políticas corporativas que definem chaves ou algoritmos incompatíveis, ou quando o modo FIPS está ativado e o SoC não oferece suporte a offload criptográfico ou encapsulamento de chaves certificado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...