BitLocker wchodzi w nową erę. Microsoft zapowiada rewolucję w szyfrowaniu dysków.
Nadchodzi hardware‑accelerated BitLocker, czyli nowa generacja szyfrowania dysków, która po raz pierwszy w historii Windowsa ma sprawić, iż pełne szyfrowanie nie będzie już obciążeniem dla systemu. Czyli bezpieczeństwo bez kompromisów.
Dlaczego BitLocker w ogóle stał się problemem?
Przez lata BitLocker był uznawany za technologię, która kosztuje kilka – zwykle 5–10 proc. wydajności. W czasach wolniejszych dysków i procesorów było to akceptowalne. Ale świat sprzętu przyspieszył w tempie, którego klasyczne podejście do szyfrowania nie było w stanie dogonić.
Nowoczesne dyski NVMe potrafią przesyłać dane z prędkością kilku gigabajtów na sekundę. Procesory i układy SoC w laptopach również zyskały ogromną moc. I tu pojawił się problem: jeżeli CPU musi zaszyfrować każdy bajt danych, to choćby najszybszy dysk zaczyna czekać na procesor. Wąskie gardło tworzy się nie w magazynie danych, ale w jednostce obliczeniowej.
Efekt? Twórcy wideo, gracze czy programiści pracujący na dużych plikach widzieli realne spowolnienia. BitLocker potrafił przyhamować transfery, zwiększyć zużycie CPU i skrócić czas pracy na baterii. W praktyce: włączone szyfrowanie oznaczało, iż procesor ma dodatkową robotę, której nie powinien mieć.
Odpowiedź Microsoftu: sprzętowa ofensywa
Aby rozwiązać ten problem Microsoft musiał zrobić coś więcej niż tylko zoptymalizować kod. Potrzebna była zmiana architektury. Tak powstał hardware‑accelerated BitLocker, oparty na dwóch kluczowych technologiach.
Diagram porównujący programowy BitLocker z przyspieszanym sprzętowo BitLockeremZa sprawą Crypto Offloading szyfrowanie i deszyfrowanie nie są już wykonywane przez główny procesor. Zamiast tego przejmuje je wyspecjalizowana jednostka w układzie SoC lub CPU. Microsoft deklaruje, iż dzięki temu oszczędza się choćby 70 proc. cykli CPU. To ogromna różnica – procesor może skupić się na faktycznej pracy, a nie na kryptografii.
Druga to Hardware‑Protected Keys. Dotychczas klucze szyfrowania były przechowywane w TPM, ale CPU i pamięć RAM przez cały czas mogły mieć do nich dostęp. Nowe podejście polega na tym, iż klucze są chronione bezpośrednio w sprzęcie – system operacyjny i procesor nigdy nie widzą ich w pełnej postaci.
To drastycznie zmniejsza powierzchnię ataku i eliminuje całe klasy technik, które polegały na analizie pamięci.
Kiedy to dostaniemy?
Microsoft zapowiada, iż pierwsze urządzenia z obsługą sprzętowego przyspieszenia BitLocker pojawią się wiosną przyszłego roku. Pierwszym potwierdzonym procesorem jest Intel Core Ultra Series 3 (Panther Lake) – układ produkowany w procesie 18A, wyposażony w dedykowaną jednostkę kryptograficzną.
Windows będzie automatycznie korzystał z algorytmu XTS‑AES‑256, jeżeli sprzęt na to pozwoli – zarówno w przypadku automatycznego szyfrowania (Device Encryption), jak i manualnej konfiguracji czy wdrożeń korporacyjnych.
Jak szybki jest nowy BitLocker? Microsoft pokazuje wyniki
Wykres słupkowy porównujący średnią liczbę cykli na operację wejścia/wyjścia Testy Microsoftu wskazują, iż wydajność dysków z sprzętowo akcelerowanym BitLockerem niemal dorównuje pracy bez szyfrowania. Sekwencyjne odczyty i zapisy, operacje losowe – wszystkie te metryki pokazują znaczący skok względem klasycznego, software’owego BitLockera. Najważniejszy efekt uboczny? Lepszy czas pracy na baterii. Skoro CPU nie musi wykonywać ciężkiej kryptografii to laptop zużywa mniej energii. Dla osób pracujących mobilnie to realna, codzienna korzyść.
Różnica w przepływie danych jest fundamentalna:
- Dawniej: dysk → CPU szyfruje/deszyfruje → system
- Teraz: dysk → jednostka kryptograficzna szyfruje/deszyfruje → system
To niby tylko jeden krok, ale zmienia wszystko. CPU przestaje być strażnikiem szyfrowania, a staje się tym, czym powinien być – jednostką obliczeniową.
Są też ograniczenia. A jakże
Nie każde urządzenie automatycznie skorzysta z nowej technologii. Są pewne zasady:
- wymuszenie starszych algorytmów (np. AES‑CBC‑128) wyłącza akcelerację sprzętową,
- polityka FIPS 140 może wymagać starszych metod – Microsoft pracuje nad aktualizacjami,
- sprzęt musi obsługiwać Crypto Offloading i Hardware‑Protected Keys.
Wiosenna aktualizacja Windowsa w 2026 r. ma automatycznie włączać akcelerację tam, gdzie to możliwe.
Panther Lake to dopiero początek. Microsoft współpracuje z innymi producentami – w tym ARM i Qualcommem – aby rozszerzyć obsługę. Pierwsze urządzenia z Core Ultra Series 3 i platformą Intel vPro będą dostępne wiosną przyszłego roku, ale kolejne generacje sprzętu gwałtownie dołączą. Starsze urządzenia przez cały czas będą korzystać z klasycznego BitLockera, ale Windows 11 już jest gotowy na nową architekturę.
