Nadchodzi hardware‑accelerated BitLocker, czyli nowa generacja szyfrowania dysków, która po raz pierwszy w historii Windowsa ma sprawić, że pełne szyfrowanie nie będzie już obciążeniem dla systemu. Czyli bezpieczeństwo bez kompromisów.

Dlaczego BitLocker w ogóle stał się problemem?

Przez lata BitLocker był uznawany za technologię, która kosztuje niewiele - zwykle 5–10 proc. wydajności. W czasach wolniejszych dysków i procesorów było to akceptowalne. Ale świat sprzętu przyspieszył w tempie, którego klasyczne podejście do szyfrowania nie było w stanie dogonić.

Nowoczesne dyski NVMe potrafią przesyłać dane z prędkością kilku gigabajtów na sekundę. Procesory i układy SoC w laptopach również zyskały ogromną moc. I tu pojawił się problem: jeśli CPU musi zaszyfrować każdy bajt danych, to nawet najszybszy dysk zaczyna czekać na procesor. Wąskie gardło tworzy się nie w magazynie danych, lecz w jednostce obliczeniowej.

Efekt? Twórcy wideo, gracze czy programiści pracujący na dużych plikach widzieli realne spowolnienia. BitLocker potrafił przyhamować transfery, zwiększyć zużycie CPU i skrócić czas pracy na baterii. W praktyce: włączone szyfrowanie oznaczało, że procesor ma dodatkową robotę, której nie powinien mieć.

Odpowiedź Microsoftu: sprzętowa ofensywa

Aby rozwiązać ten problem Microsoft musiał zrobić coś więcej niż tylko zoptymalizować kod. Potrzebna była zmiana architektury. Tak powstał hardware‑accelerated BitLocker, oparty na dwóch kluczowych technologiach.

Diagram porównujący programowy BitLocker z przyspieszanym sprzętowo BitLockerem

Za sprawą Crypto Offloading szyfrowanie i deszyfrowanie nie są już wykonywane przez główny procesor. Zamiast tego przejmuje je wyspecjalizowana jednostka w układzie SoC lub CPU. Microsoft deklaruje, że dzięki temu oszczędza się nawet 70 proc. cykli CPU. To ogromna różnica - procesor może skupić się na faktycznej pracy, a nie na kryptografii.

Druga to Hardware‑Protected Keys. Dotychczas klucze szyfrowania były przechowywane w TPM, ale CPU i pamięć RAM nadal mogły mieć do nich dostęp. Nowe podejście polega na tym, że klucze są chronione bezpośrednio w sprzęcie - system operacyjny i procesor nigdy nie widzą ich w pełnej postaci.

To drastycznie zmniejsza powierzchnię ataku i eliminuje całe klasy technik, które polegały na analizie pamięci.

Kiedy to dostaniemy?

Microsoft zapowiada, że pierwsze urządzenia z obsługą sprzętowego przyspieszenia BitLocker pojawią się wiosną przyszłego roku. Pierwszym potwierdzonym procesorem jest Intel Core Ultra Series 3 (Panther Lake) - układ produkowany w procesie 18A, wyposażony w dedykowaną jednostkę kryptograficzną.

Windows będzie automatycznie korzystał z algorytmu XTS‑AES‑256, jeśli sprzęt na to pozwoli - zarówno w przypadku automatycznego szyfrowania (Device Encryption), jak i ręcznej konfiguracji czy wdrożeń korporacyjnych.

Jak szybki jest nowy BitLocker? Microsoft pokazuje wyniki

Wykres słupkowy porównujący średnią liczbę cykli na operację wejścia/wyjścia

Testy Microsoftu wskazują, że wydajność dysków z sprzętowo akcelerowanym BitLockerem niemal dorównuje pracy bez szyfrowania. Sekwencyjne odczyty i zapisy, operacje losowe - wszystkie te metryki pokazują znaczący skok względem klasycznego, software’owego BitLockera. Najważniejszy efekt uboczny? Lepszy czas pracy na baterii. Skoro CPU nie musi wykonywać ciężkiej kryptografii to laptop zużywa mniej energii. Dla osób pracujących mobilnie to realna, codzienna korzyść.

Różnica w przepływie danych jest fundamentalna:

Dawniej: dysk → CPU szyfruje/deszyfruje → system

Teraz: dysk → jednostka kryptograficzna szyfruje/deszyfruje → system

To niby tylko jeden krok, ale zmienia wszystko. CPU przestaje być strażnikiem szyfrowania, a staje się tym, czym powinien być - jednostką obliczeniową.

Są też ograniczenia. A jakże

Nie każde urządzenie automatycznie skorzysta z nowej technologii. Są pewne zasady:

wymuszenie starszych algorytmów (np. AES‑CBC‑128) wyłącza akcelerację sprzętową,

polityka FIPS 140 może wymagać starszych metod - Microsoft pracuje nad aktualizacjami,

sprzęt musi obsługiwać Crypto Offloading i Hardware‑Protected Keys.

Wiosenna aktualizacja Windowsa w 2026 r. ma automatycznie włączać akcelerację tam, gdzie to możliwe.

Panther Lake to dopiero początek. Microsoft współpracuje z innymi producentami - w tym ARM i Qualcommem - aby rozszerzyć obsługę. Pierwsze urządzenia z Core Ultra Series 3 i platformą Intel vPro będą dostępne wiosną przyszłego roku, ale kolejne generacje sprzętu szybko dołączą. Starsze urządzenia nadal będą korzystać z klasycznego BitLockera, ale Windows 11 już jest gotowy na nową architekturę.

Maciej Gajewski 22.12.2025 18:02

