微軟釋出硬體加速的BitLocker 減少拖慢PC效能、強化安全性

微軟本周宣布推出硬體加速的BitLocker，取代CPU加速，以提升Windows 11機器的運作效能，並減少金鑰曝露風險。新功能已於9月加入Windows 11 24H2/25H2，並計畫藉由新一代CPU/SoC普及到次世代PC。

微軟說明，過去BitLocker的效能損耗大多只有個位數百分比，幾乎感覺不到，這是因為傳統SSD I/O本來就慢。但隨著更高速I/O的非揮發記憶體Express（NVMe）磁碟快速普及，但使得BitLocker運作對PC效能影響變得更顯著。在現有搭載NVMe的Windows PC上，需要高I/O及高資料吞吐量的應用使用者，如處理大型影片檔的專業工作者、組譯大型程式庫的開發人員、或是對延遲性錙銖必較的遊戲玩家兼顧資料安全及速度，BitLocker造成的效能或CPU耗用會變得更難以忍受。

為平衡高效能和安全性，微軟在上個月的Ignite大會上推出硬體加速的BitLocker（Hardware-Accelerated BitLock）。微軟強調，最新一代BitLocker並不只是小改小修，而是加入了真正新的架構性功能。

微軟說明，新BitLocker有兩項重大變革。一是將加密工作從CPU卸載到專用加密引擎上，以便主要CPU資源能用於主要任務需求，提升效能及減少電力耗用。第二是金鑰由硬體防護。如果機器的SoC晶片支援，BitLocker可自動切換，將加密金鑰交由硬體層隔離與封裝，以免於曝露CPU及記憶體，可降低旁路攻擊及記憶體漏洞曝露金鑰的風險。微軟說這是在TPM（Trusted Platform Module）防護機制外的新一層安全機制。

Windows 11 24H2的9月Windows更新、Windows 11 25H2已包含新BitLocker。

新BitLocker也會配合未來搭載新SoC及CPU提供於新Windows機器。第一批支援的新CPU/SoC包括Intel Core Ultra Series 3（代號Panther Lake），微軟計畫未來持續增加其他支援的廠商和CPU平臺。

Windows PC可提供自動BitLocker加密、手動啟動、政策驅動、或是script啟動。若PC啟動新一代BitLocker，若（搭載NVMe磁碟的）Windows 11機器的SoC晶片支援，Windows就會預設使用新的硬體加速BitLocker和TS-AES-256演算法。

不過，若企業指定SoC不支援的加密演算法、金鑰長度，或啟用了特定政策，Windows將退回使用傳統的軟體型BitLocker。

配合NVMe磁碟的普及，微軟本月稍早宣布Windows Server 2025加入NVMe原生支援，可望最多提高NVMe I/O速度80%。