微软在Windows 11中引入了一种新的硬件加速BitLocker加密形式,将加密和解密任务卸载到未来CPU内置的专用密码学加速器上,以提高性能和效率。该功能首次于去年11月的Ignite 2025大会上宣布,现已添加到最新版本的Windows 11(25H2)和Windows Server(2025 九月更新版)中,同时引入的还有UFS(通用闪存存储)内联加密引擎技术。这项新技术将消除微软因强制用户默认使用基于软件的加密而带来的性能损失,在某些类型的工作负载中提供两倍的存储性能。
根据我们的测试和支持文档,在新安装的Windows 11 Pro上,默认启用了基于软件的BitLocker加密。由于加密和解密由CPU上运行的软件处理,它会使SSD性能降低高达45%。硬件加速的BitLocker已经可用于存储设备,只要设备符合TCG Opal标准,无论是SSD还是HDD,加密卸载都由存储设备本身处理。大多数现代SSD都包含基于硬件的加密,所有加密/解密处理直接在驱动器上进行,不会影响性能。
然而,微软选择为新安装的Windows Pro强制启用软件版BitLocker,损害了性能和电池续航——用户只有通过一系列复杂且大多无文档记录的步骤,才能使用基于硬件的SSD加密。
该公司现在计划采用一种新的硬件加速BitLocker CPU实施方案来解决它自己造成的问题,但这需要时间才能普及。硬件加速BitLocker最初将适用于配备基于即将推出的英特尔酷睿 Ultra 第3代“Panther Lake”CPU的英特尔 vPro平台的Windows 11设备,并计划提供更广泛的支持。最新版本的BitLocker预计将利用即将推出的芯片上的新功能,包括加密卸载,即大部分加密操作将从CPU上运行的软件转移到专用的固定功能加密引擎。此外,BitLocker批量加密密钥将在选定的SoC上进行硬件封装,通过减少暴露于CPU和内存漏洞的风险来提高安全性。
微软的拉法尔·索斯诺夫斯基(Rafal Sosnowski)在一篇博客文章中表示:“启用BitLocker时,支持该功能的设备如果配备NVMe驱动器以及一个新的具备加密卸载能力的SoC,将默认使用带有XTS-AES-256算法的硬件加速BitLocker。这包括自动设备加密、手动启用BitLocker、策略驱动启用或基于脚本的启用,但存在一些例外情况。”
微软声称,与软件BitLocker相比,硬件加速BitLocker可以在存储和I/O指标(如顺序和随机读写)方面带来性能提升。此外,用户在处理BitLocker工作负载时所需的CPU周期最多可减少70%,从而改善电池续航。
该公司还在一个视频中分享了CrystalDiskMark性能测试结果,显示启用基于软件的BitLocker加密的驱动器在单线程顺序工作负载下读取速度为1632 MB/s,而启用基于硬件的BitLocker的驱动器则达到3746 MB/s。同样,写入速度也从1510 MB/s提升至3530 MB/s。
目前,硬件加速BitLocker将专用于未来的Windows PC,因此广泛采用需要时间。尽管如此,该功能的引入表明微软终于开始重新思考在现代硬件上应如何实现加密。
