BitLocker в Windows 11 скоро получит серьезный прирост производительности

BitLocker — встроенная функция безопасности Windows, предназначенная для шифрования дисков. Ранее она была необязательной и в основном использовалась в профессиональных редакциях системы. Начиная с Windows 11, версия 24H2, Microsoft включает BitLocker по умолчанию при чистой установке ОС. Формально функцию можно отключить, однако после последнего анонса компании делать это многим пользователям уже не имеет смысла.

Microsoft заявляет, что BitLocker изначально проектировался с упором на безопасность при минимальном влиянии на производительность, удерживая накладные расходы на уровне ниже 10%. Однако с ростом скорости NVMe-накопителей операции ввода-вывода ускорились настолько, что шифрование стало упираться в возможности процессора. Это привело к повышенной нагрузке на CPU и заметному снижению производительности, на которое начали жаловаться пользователи.

Для решения этой проблемы компания недавно анонсировала поддержку аппаратного ускорения BitLocker. Данный механизм будет использовать новые возможности будущих систем-на-кристалле (SoC) и процессоров, а также сохранит поддержку технологии UFS Inline Crypto Engine. В основе аппаратно ускоренного BitLocker лежат две ключевые возможности:

• Аппаратный вынос операций шифрования: BitLocker переносит основные операции шифрования с центрального процессора на выделенный криптографический движок. Это освобождает ресурсы CPU для других задач и положительно сказывается как на производительности, так и на времени автономной работы.
• Аппаратно защищенные ключи: при наличии поддержки со стороны SoC ключи массового шифрования BitLocker аппаратно защищаются, что снижает риск их компрометации через уязвимости процессора и оперативной памяти. Это дополняет механизм TPM, отвечающий за защиту промежуточных ключей, и приближает отказ от хранения ключей BitLocker в CPU и ОЗУ.

По данным внутренних тестов Microsoft, аппаратно ускоренный BitLocker существенно превосходит программную версию по производительности. Прирост фиксируется при последовательных и случайных операциях чтения и записи. В среднем экономится около 70% процессорных циклов, что приближает производительность к системе без включенного BitLocker и положительно влияет на время автономной работы устройств.

Это подтверждается и практическими тестами. В CrystalDiskMark при использовании программного BitLocker скорость последовательного чтения SEQ1M Q1T1 составляла 1632,52 МБ/с, тогда как аппаратно ускоренный BitLocker на той же системе показывал 3746,55 МБ/с. Таким образом, производительность более чем удваивалась, что явно указывает на устранение процессорного узкого места. Скорость записи также выросла — с 1513,43 МБ/с до 3530,82 МБ/с. Существенный прирост наблюдался и в других тестах случайного доступа.

Начальную поддержку аппаратно ускоренного BitLocker Microsoft планирует внедрить на устройствах Intel vPro с процессорами Intel Core Ultra Series 3. По мере развития технологии компания намерена распространить эти улучшения на все «совместимые» ПК. Данная версия BitLocker по умолчанию использует алгоритм XTS-AES-256 и требует Windows 11, версия 24H2, Windows 11, версия 25H2 или новее. При этом отмечается, что в ряде сценариев функция работать не будет — соответствующие ограничения Microsoft описывает в отдельном документе.