Iespējojot BitLocker operētājsistēmā Windows, jūs iegūstat lielu sirdsmieru… taču jūs droši vien esat arī pamanījuši, ka jūsu dators darbojas nedaudz lēnāk, it īpaši, ja izmantojat ļoti ātru SSD disku. neliela veiktspējas pretestība Šī vienmēr ir bijusi cena, kas jāmaksā par visa diska šifrēšanu, īpaši datoros ar moderniem NVMe diskdziņiem.
Microsoft ir pastiprinājis savu sniegumu un pilnībā pārveidojis disku šifrēšanas darbību. Ar ienākšanu tirgū Ar aparatūru paātrināts BitLockerOperētājsistēma spēj izmantot procesorā vai SoC integrētos kriptogrāfiskos dzinējus, samazinot centrālā procesora darba slodzi un pietuvinot šifrēta diska veiktspēju nešifrēta diska veiktspējai.
Kas ir BitLocker un kāpēc tas tik ļoti ietekmēja veiktspēju?
BitLocker ir risinājums pilnīga diska šifrēšana, kas iebūvēta operētājsistēmā WindowsPieejams Pro, Enterprise un korporatīvajos izdevumos, tā mērķis ir aizsargāt datorā saglabātos datus pret nozaudēšanu, ierīču zādzību, disku izņemšanu vai datoru nepareizu utilizāciju uzņēmumos.
Lai panāktu šo aizsardzību, BitLocker šifrē visu diska saturu, izmantojot mūsdienīgus algoritmus, piemēram, AES-XTS-256lai datus varētu nolasīt tikai tad, ja ir pieejamas pareizās atslēgas, kuras parasti aizsargā TPM (uzticamas platformas modulis) un drošas sāknēšanas politikas.
Līdz šim tradicionālā BitLocker ieviešana operētājsistēmā Windows 11 gandrīz pilnībā balstījās uz programmatūras šifrēšanaCitiem vārdiem sakot, universālais centrālais procesors bija atbildīgs par katra diska ievadītā vai no tā izietā datu bloka šifrēšanu un atšifrēšanu, paļaujoties uz AES-NI instrukcijām (Intel) vai to ekvivalentiem AMD un citu ražotāju procesoros.
Ar mehāniskajiem cietajiem diskiem vai pat SATA SSD diskiem vājā vieta bija pašā krātuvē, tāpēc papildu šifrēšanas izmaksas nebija pārāk ievērojamas. Tomēr masveida ienākšana ātrgaitas NVMe diski, īpaši PCIe 4.0 un 5.0 paaudžu, ir pilnībā mainījis ainavu.
BitLocker problēma NVMe laikmetā
Mūsdienu NVMe diski spēj pārvietot datus nežēlīgā ātrumā, ar ļoti augstu I/O ātrumu sekundē (IOPS), īpaši mazu bloku nejaušas darbībasŠādā scenārijā centrālajam procesoram ir jāstrādā daudz intensīvāk, lai reāllaikā šifrētu un atšifrētu visu datu plūsmu, kas iet caur PCIe kopni.
Microsoft inženieri ir paskaidrojuši, ka iekšējos testos programmatūras BitLocker ietekme ir ļoti ievērojama. Bez šifrēšanas tipiskai ievades/izvades darbībai var būt nepieciešama aptuveni 400 000 centrālā procesora cikluTā kā BitLocker darbojas tikai ar programmatūras palīdzību, šī pati darbība var patērēt aptuveni 1,9 miljoni ciklu, kas nozīmē aptuveni 375 % skaitļošanas slodzes pieaugumu.
Šis centrālā procesora ciklu pieaugums nozīmē lielāka latentuma pakāpe, lielāks enerģijas patēriņš un zemāka plūstamība ikdienas uzdevumos. Visvairāk tas ir pamanāms ne tik daudz lielās secīgās kopijās, bet gan pastāvīgā piekļuvē maziem datu blokiem: programmu atvēršanā, spēļu līmeņu ielādē, koda kompilēšanā, darbā ar lieliem video vai audio projektiem utt.
Dažos reālos gadījumos lietotāji un uzņēmumi ziņoja, ka BitLocker var palēnināt SSD disku līdz pat 45% noteiktos gadījumosTiem, kas bija atkarīgi no katras reakcijas laika milisekundes — piemēram, video rediģēšanas darbstacijās, liela mēroga programmatūras izstrādē vai spēļu datoros —, parasti tika atspējots BitLocker, upurējot drošību veiktspējas labā.
Kāpēc Microsoft tagad pārveido BitLocker?
Līdz ar NVMe SSD disku popularizēšanu un pāreju uz arvien ātrākām paaudzēm, BitLocker no "neredzamas" komponentes kļuva par ļoti acīmredzama sašaurinājumaŠifrēšana vairs nebija slēpta aiz diska lēnuma; tagad bremze bija centrālais procesors, kam bija jāšifrē dati ar ātrumu, kas nebija paredzēts, izstrādājot sākotnējo arhitektūru.
Konferencēs, piemēram, Microsoft Ignite, uzņēmums ir atzinis, ka, lai gan viņiem ir izdevies saglabāt BitLocker pieslēgvietas izmaksas aptuveni viens procents noteiktos gadījumosNVMe disku pieaugums palielināja kriptogrāfisko operāciju relatīvo svaru kopējā pieejamo CPU ciklu skaitā.
Līdz ar Windows 11 parādīšanos un tās apņemšanos ievērot stingrākas drošības prasības (TPM 2.0, droša sāknēšana, drošības virtualizācija utt.), palika viens ļoti svarīgs neatrisināts jautājums: piedāvājums pilnīga diska šifrēšana, būtiski neietekmējot veiktspējuUn tieši šeit noder BitLocker ar aparatūras paātrinājumu.
Ar aparatūru paātrināts BitLocker: arhitektūras maiņa
Jaunā BitLocker ieviešana ievieš a dziļas arhitektūras pārmaiņasŠifrēšana vairs neatrodas galvenokārt universālajā centrālajā procesorā un tiek pārnesta uz īpašiem kriptogrāfiskiem dzinējiem, kas integrēti SoC (System on a Chip) vai pašā procesora mikroarhitektūrā.
Tā vietā, lai apstrādātu katru datu bloku, izmantojot cikli intensīvas programmatūras rutīnas, Windows 11 pārvieto masveida šifrēšanas un atšifrēšanas darbības uz fiksētas funkcijas kriptogrāfiskais dzinējs integrēts aparatūrā. Šie bloki ir īpaši izstrādāti, lai veiktu AES-XTS-256 darbības ar minimālu latentumu un ievērojami zemāku enerģijas patēriņu.
Galvenais ir iekšā divas lielas idejas kas definē aparatūras paātrinātu BitLocker:
- Kriptovalūtu izkraušanaOperētājsistēma novirza šifrēšanas darbu no galvenā centrālā procesora uz īpašu dzinēju, atbrīvojot skaitļošanas resursus citām lietojumprogrammām, samazinot kodolu slodzi un uzlabojot akumulatora darbības laiku klēpjdatoros.
- Ar aparatūru aizsargātas atslēgasBitLocker izmantotās galvenās atslēgas ir iekapsulētas ("aparatūras ietīšana") pašā SoC, tādējādi pastiprinot aizsardzību pret uzbrukumiem, kas mēģina tās iegūt no atmiņas vai izmantot centrālā procesora vai operētājsistēmas ievainojamības.
Šī pieeja tuvina BitLocker risinājumiem, kas pieejami tālāk. vietējā aparatūras šifrēšana kas tradicionāli tiek izmantoti datu centros un uzņēmumu vidēs, kur ir paredzētas kartes vai kontrolleri šifrēšanas apstrādei ar minimālu ietekmi uz kopējo veiktspēju.
Kā jaunā AES-XTS-256 šifrēšana darbojas ārpus centrālā procesora?
Praksē jaunais BitLocker izmanto a kriptogrāfiskais dzinējs, kas integrēts SoC lai palaistu AES-XTS-256 algoritmu, kas joprojām ir noklusējuma standarts pilnīgai diska šifrēšanai operētājsistēmā Windows 11 modernās konfigurācijās.
Pateicoties tam darba ieteikums:
- CPU pārtrauc intensīvu kriptogrāfisko rutīnu izpildi kas iepriekš patērēja miljoniem ciklu katrā I/O operācijā, ļaujot kodolus veltīt lietotāju uzdevumiem vai citām sistēmas funkcijām.
- Šifrēšanas atslēgas tiek pārvaldītas un aizsargātas tieši aparatūrā.samazinot saskari ar metodēm, kas mēģina iegūt tos no RAM, CPU reģistriem vai sistēmas izgāztuvēm, un papildinot to, ko TPM jau dara.
- Ievades/izvades operācijās latentums ir samazinātsīpaši mazās nejaušās piekļuves gadījumos, kas ikdienā nosaka operētājsistēmas elastības sajūtu.
No lietotāja viedokļa tas viss ir caurspīdīgs: viņš joprojām redz BitLocker kā vienmēr, pārvaldot to ar tiem pašiem Windows rīkiem. Atšķirība ir tāda, ka zem pārsega šifrēšana vairs nav liela CPU slodze, bet gan specializēts darbs pie īpaša aparatūras bloka.
Veiktspējas uzlabojumi: no sašaurinājuma līdz vienmērībai
Microsoft iekšējie testi liecina, ka atšķirība starp klasisko programmatūras BitLocker un aparatūras paātrināto versiju ir milzīga. Dažos gadījumos aparatūras šifrēšana šifrētajā diskā sasniedz ievērojami labāku veiktspēju. praktiski neatšķiras no nešifrēta SSD diska.
Konkrētos rādītājos ir novēroti šādi rādītāji pārsteidzoši uzlabojumi operācijās, kas tradicionāli bija šifrēšanas Ahilleja papēdis:
- 4K nejaušas darbības ar 32 rindu dziļumu (RND4K Q32T1)Ar aparatūras paātrinātu BitLocker tie var būt līdz pat 2,3 reizēm ātrāki, salīdzinot ar tīri programmatūras versiju.
- Vienas rindas 4K nejauši nolasījumiTie uzrāda aptuveni 40 % veiktspējas pieaugumu salīdzinājumā ar tradicionālo BitLocker, ievērojami samazinot uztverto latentumu.
- Vienas rindas 4K nejauša rakstīšanarezultātus var dubultot, sasniedzot aptuveni 2,1 reizes lielākus uzlabojumus salīdzinājumā ar klasisko šifrēšanu.
Runājot par secīgiem ātrumiem (lielu failu kopēšana, nepārtraukta video atskaņošana utt.), atšķirības starp programmatūras un aparatūras šifrēšanu ir mazākas; tur vājā vieta parasti joprojām ir pats SSD disks. Pat ja tā, CPU izmantošana ir samazināta par vairāk nekā 70% ar BitLocker saistītās slodzēs, kam ir nepārprotamas priekšrocības enerģijas patēriņa un temperatūras ziņā.
Ekstrēmos gadījumos, kad uz programmatūru balstītais BitLocker radīja ļoti nopietnu sašaurinājumu, ir parādījušies ziņojumi. efektīvās veiktspējas uzlabojumi līdz pat 375%Tas nav vidējs uzlabojums visos lietojumos, bet gan konkrēts gadījums, kad iepriekš centrālais procesors bija pilnībā piesātināts ar šifrēšanu.
Tieša ietekme uz spēlēm, video rediģēšanu un intensīvu darba slodzi
Vislielāko labumu no aparatūras paātrinātā BitLocker gūst tieši tie, kas iepriekš visvairāk cieta no tā sekām. spēļu aprīkojumsJaunā pieeja ļauj saglabāt pilnīgu diska šifrēšanu, nepalielinot spēles ielādes laiku vai procesora noslodzi fonā.
Vidēs, kur profesionāla video rediģēšana Vai arī studijās, kas strādā ar lieliem failiem, pastāvīgā lasīšanas un rakstīšanas plūsma SSD diskā vairs nav tik ierobežota ar kriptogrāfiskām darbībām. Rediģēšanas laika skala, priekšskatījumi un renderēšanas procesi var darboties ar minimālu šifrēšanas ietekmi.
Tas pats notiek iekšā programmatūras izstrāde un masveida būvēšanakur tiek veiktas daudzas nejaušas mazu failu lasīšanas/rakstīšanas operācijas: ar aparatūras paātrinājumu šifrēšana aptur kritisko CPU ciklu zādzību, kas nepieciešama testu kompilēšanai, saistīšanai un palaišanai.
Klēpjdatoros ieguvums ir manāms arī akumulatora darbības laiks un centrālā procesora temperatūraSamazinot šifrēšanai veltīto ciklu skaitu, procesors darbojas ar 100% jaudu īsāku laiku, kas samazina enerģijas patēriņu un var padarīt datoru vēsāku intensīvas slodzes apstākļos.
Paaugstināta drošība: atslēgas ievietotas aparatūrā
Uzlabojums neaprobežojas tikai ar veiktspēju. Jaunā dizaina mērķis ir arī pastiprināt drošība pret fiziskiem un kriminālistikas uzbrukumiemIekapsulējot šifrēšanas atslēgas pašā aparatūrā, tiek samazināta to pakļautība metodēm, kas mēģina iegūt informāciju tieši no atmiņas vai izmantojot sistēmas ievainojamības.
BitLocker atslēgām jau bija TPM aizsardzība un drošās sāknēšanas politikas, bet tagad ir pievienots papildu slānis: aparatūras iesaiņošana SoC ietvaros, kas glabā un pārvalda šīs atslēgas vidē, kuru ir grūtāk manipulēt pat uzbrucējiem ar fizisku piekļuvi ierīcei.
Šī tendence pārvietot kritiskās drošības funkcijas no programmatūras uz aparatūru izplatās visā nozarē. Mērķis ir tāds, ka tādi komponenti kā atslēgu pārvaldība, integritātes pārbaude vai datu šifrēšana miera stāvoklī ir ievietoti silīcija blokos, kas īpaši izstrādāti, lai izturētu arvien sarežģītākus uzbrukumus.
Pieejamība operētājsistēmā Windows 11 un serveru versijās
Ar aparatūru paātrināts BitLocker tiek pakāpeniski iekļauts Windows 11 un Windows Server izmantojot lielus sistēmas atjauninājumus. Microsoft ir detalizēti aprakstījis, kā un kad šī jaunā arhitektūra tiek aktivizēta dažādās versijās.
Windows 11 gadījumā aparatūras paātrinājums sāk parādīties ar filiāli 24H2 un tas konsolidējas versija 25H2, kā arī septembra atjauninājumu, kas ļauj automātiski iespējot šo funkcionalitāti ierīcēs, kas ir saderīgas ar NVMe diskdziņiem un SoC, kas sagatavotas šāda veida šifrēšanai.
Serveru vidē uzlabojums ir integrēts Windows Server 2025 (septembra atjauninājumā), kas ļauj organizācijām savās infrastruktūrās ieviest aparatūras paātrinātu pilnīgu diska šifrēšanu, neupurējot kritisko datubāzu, hipervizoru un lietojumprogrammu pieprasīto veiktspēju.
Pēc noklusējuma izmantotais algoritms paliek spēkā. XTS-AES-256Microsoft ir arī paziņojis, ka turpmākajos pavasara atjauninājumos tas automātiski pielāgos noteiktus parametrus, piemēram, atslēgu izmērus, lai maksimāli palielinātu saderību ar SoC iegultajiem šifrēšanas dzinējiem.
Aparatūras prasības un pirmās atbalstītās platformas
Ne visi datori varēs izmantot šīs jaunās arhitektūras priekšrocības. Lai BitLocker izmantotu aparatūras paātrinājumu, ir nepieciešama noteikta sistēma. SoC vai procesors ar īpašu kriptogrāfisko dzinēju saderīgs ar operētājsistēmu.
Pirmajā posmā Microsoft ir norādījis, ka atbalsts ir īpaši paredzēts sistēmām Intel vProsākot ar nākotnes procesoriem Intel Core Ultra 3. sērija “Panther Lake”Šajās mikroshēmās būs iekļauti nepieciešamie paātrinājuma bloki, lai Windows varētu dabiski novirzīt šifrēšanu uz aparatūru.
No Intel puses tiek minēts, ka Intel Core Ultra 300 sērijas procesori (Panther Lake), kuras izlaišana paredzēta 2026. gadā, būs pilnībā saderīga ar šo jauno ieviešanu. Turklāt Intel vPro platforma joprojām būs prioritārs mērķis paātrinātas šifrēšanas nodrošināšanai uzņēmumu vidē.
Attiecībā uz AMDDaudzi no tā modernajiem Ryzen un EPYC procesoriem jau ietver AES-NI atbalstu vai līdzvērtīgas instrukcijas, lai paātrinātu procesora šifrēšanu, kas līdz šim ir palīdzējušas uzlabot programmatūras BitLocker veiktspēju. Microsoft ir skaidri norādījis, ka atbalsts īpašiem šifrēšanas dzinējiem tiks paplašināts uz citiem ražotājiem un arhitektūrām, tiklīdz tie kļūs pieejami. iekļaut īpašus paātrinājuma blokus savos SoC.
SoC ARM jomā Qualcomm Snapdragon X Elite Citi mūsdienīgi dizaini izceļas arī ar spēcīgu integrētu kriptogrāfisko iespēju iekļaušanu, kas paver tiem iespēju tiešāk izmantot šo aparatūras paātrināto šifrēšanas modeli, pilnveidojot integrāciju ar Windows 11.
Saderība, grupas politikas un kā pārbaudīt, vai tā ir aktīva
Lai gan sistēma var būt saderīga ar aparatūru, noteiktas programmatūras konfigurācijas var neļaut BitLocker izmantot paātrinājumu. Uzņēmumu vidē grupas politikas, kas ievieš noteiktus algoritmus vai atslēgu izmērus Tā kā SoC šifrēšanas dzinējs tos neatbalsta, tie var netīšām atspējot aparatūras optimizāciju.
Lai pārbaudītu, vai konkrēts dators izmanto aparatūras paātrinājumu, izmantojot BitLocker, varat izmantot komandrindas rīku. pārvaldīt-bdeIzpildot šādu komandu konsolē ar administratora privilēģijām:
manage-bde -status
Šifrēšanas metodes sadaļā, ja aprīkojums un konfigurācija ir saderīgi, vajadzētu parādīties norādei, ka tiek izmantota šifrēšana. "Aparatūras paātrinājums"Ja nē, sistēma, visticamāk, joprojām izmanto tradicionālo uz programmatūru balstīto modeli.
IT administratoriem tas nozīmē rūpīgu politikas veidņu un automatizēto drošības konfigurācijas izvietošanas rīku pārskatīšanu, lai Aparatūras kriptogrāfiskās iespējas netiek nejauši bloķētas. kas varētu paātrināt BitLocker darbību.
Kas notiek, ja datoram nav saderīgas aparatūras?
Ja jūsu datoram vai klēpjdatoram nav īpašas kriptogrāfijas programmas, kas nepieciešama paātrinātajam BitLocker, sistēma turpinās darboties ar tradicionālā programmatūras šifrēšanaJums joprojām būs datu aizsardzība, taču ietekme uz veiktspēju un centrālā procesora noslodzi būs līdzīga tai, kas novērota līdz šim.
Šādos gadījumos joprojām var būt ieteicams atstāt BitLocker iespējotu, īpaši mobilajās ierīcēs, kuras ir vieglāk pazaudēt vai nozagt. Lēmums būs atkarīgs no līdzsvara starp drošību un veiktspēju kas jums nepieciešams: vecākos datoros tā atspējošana var nedaudz palielināt ātrumu, taču tas apdraud jūsu datus.
Tiem, kas plāno tuvākajos gados uzlabot savu aprīkojumu, ieteicams sākt aplūkot specifikācijas un pārbaudīt, vai reklamētais procesors vai SoC tieši atbalsta BitLocker aparatūras paātrināta šifrēšanaIr ļoti iespējams, ka pamazām šī funkcija no kaut kā "uzlabota" pārtaps par vēl vienu standarta drošības prasību jaunajās iekārtās.
Galu galā, ko Microsoft piedāvā ar šo jauno arhitektūru, ir tas, ka jūsu disks vienmēr var būt šifrēts, neatsakoties no veiklā sistēma Un bez jebkādiem veiktspējas pārsteigumiem, ko līdz šim daudzi lietotāji uzskatīja par iespējamu tikai tad, ja atspējo BitLocker, tiklīdz sāk lietot datoru. Kopīgojiet šo informāciju, lai vairāk lietotāju uzzinātu, kas ir BitLocker..