Компания Microsoft представила обновлённую реализацию технологии полнодискового шифрования BitLocker для Windows 11, которая задействует аппаратное ускорение. В ходе тестирования новая версия продемонстрировала снижение нагрузки на центральный процессор примерно на 70 процентов на операциях ввода-вывода по сравнению с традиционным программным методом шифрования.

BitLocker является встроенной функцией Windows, предназначенной для защиты данных от несанкционированного доступа путём шифрования всего системного диска. При стандартной загрузке устройство использует модуль доверенной платформы (TPM) для безопасного управления ключами шифрования и автоматической разблокировки диска.

С ростом производительности современных NVMe-накопителей криптографические операции BitLocker начали оказывать более заметное влияние на общую производительность системы, особенно в ресурсоёмких задачах, таких как игры и видеомонтаж. Аппаратное ускорение позволяет перенести значительную часть криптографических вычислений на специализированные блоки, встроенные в системные кристаллы (SoC). К ним относятся аппаратные модули безопасности (HSM) и доверенные среды выполнения (TEE), которые снижают нагрузку на центральный процессор.

При включении шифрования на поддерживаемых устройствах с NVMe-накопителями и одним из новых SoC с поддержкой криптографического ускорения система по умолчанию будет использовать аппаратно-ускоренную версию BitLocker с алгоритмом XTS-AES-256. Активация функции возможна через автоматическое шифрование устройства, ручное включение, политики групповой политики или сценарии.

Помимо повышения производительности, новая реализация улучшает защищённость ключей шифрования. Ключи BitLocker теперь хранятся и обрабатываются в аппаратно защищённой среде, что минимизирует их уязвимость к атакам, нацеленным на оперативную память или центральный процессор. Microsoft отмечает, что это является шагом к полному исключению ключей шифрования из обычной памяти и ЦП.

Новая версия BitLocker с аппаратным ускорением доступна в Windows 11 24H2 при наличии сентябрьских обновлений, а также в сборках Windows 11 25H2. Первоначальная поддержка появилась в системах Intel vPro на базе процессоров Intel Core Ultra Series 3 (кодовое имя «Panther Lake»). Поддержка платформ других производителей будет добавляться поэтапно.

Пользователи могут проверить текущий режим работы BitLocker, выполнив в командной строке с правами администратора команду manage-bde -status и найдя информацию об «аппаратном ускорении» в разделе «Метод шифрования». По умолчанию система будет использовать программный режим шифрования в нескольких случаях: при использовании неподдерживаемых алгоритмов или размеров ключей, если корпоративные политики предписывают неподдерживаемые настройки, а также когда включён режим соответствия стандарту FIPS, а SoC не имеет сертифицированных возможностей для криптографической разгрузки и защиты ключей.

Ранее, в ноябре 2025 года, Microsoft подтвердила проблему, из-за которой часть компьютеров загружалась в режим восстановления BitLocker после установки октябрьских обновлений безопасности. Инцидент в основном затронул компьютеры на базе процессоров Intel с поддержкой режима Modern Standby и не приводил к повреждению данных при наличии ключа восстановления.