BitLocker accelerato via hardware: Microsoft raddoppia le prestazioni su Windows 11

La crittografia dei dati rappresenta ormai uno standard per la protezione delle informazioni personali, ma fino ad oggi ha sempre comportato un compromesso in termini di velocità. Microsoft ha deciso di affrontare direttamente il problema con una rivisitazione completa del funzionamento di BitLocker, il sistema di cifratura integrato in Windows 11 che dalla versione 24H2 è attivo per impostazione predefinita durante le installazioni pulite del sistema operativo.

La società di Redmond ha sempre mantenuto l'impatto sulle prestazioni di BitLocker al di sotto del 10%, ma l'evoluzione degli storage NVMe ha reso evidente un limite: quando le operazioni di lettura e scrittura diventano sempre più rapide, il processore principale fatica a gestire contemporaneamente la cifratura dei dati senza creare rallentamenti percettibili. Il risultato è un collo di bottiglia che penalizza le prestazioni complessive del sistema, specialmente sui dispositivi più recenti dotati di unità SSD ad alte prestazioni.

La soluzione adottata da Microsoft prevede lo spostamento delle operazioni crittografiche dal processore centrale a un engine crittografico dedicato, come avevamo già scritto qui, integrato direttamente nel system-on-chip o nella CPU. L'azienda ha adesso rilasciato ulteriori dettagli dell'implementazione, che avverrà a partire dal 2026 su un numero via via superiore di dispositivi compatibili.

Grazie alla funzionalità di crypto offloading, le attività di cifratura e decifratura verranno elaborate da circuiti specializzati, liberando risorse preziose della CPU per altre operazioni. Oltre al miglioramento prestazionale, l'accelerazione via hardware di BitLocker introdurrà un secondo elemento chiave: le chiavi di cifratura verranno protette direttamente a livello hardware se il SoC lo supporta. Le chiavi bulk verranno incapsulate e isolate nel silicio, riducendo drasticamente l'esposizione a possibili vulnerabilità della CPU o della memoria. Il sistema affiancherà il Trusted Platform Module già utilizzato per proteggere le chiavi intermedie, con l'obiettivo futuro di eliminare completamente la presenza delle chiavi di cifratura dalla memoria volatile del processore.

Il risparmio medio del 70% nei cicli CPU si tradurrà anche in un vantaggio tangibile per l'autonomia dei dispositivi portatili. Quando il processore non deve più occuparsi costantemente delle operazioni crittografiche, il consumo energetico complessivo diminuisce, permettendo ai laptop di durare più a lungo lontano dalla presa di corrente.

Il supporto iniziale arriverà attraverso i dispositivi Intel vPro equipaggiati con processori Intel Core Ultra Series 3, ma Microsoft ha già dichiarato l'intenzione di estendere la compatibilità a tutti i PC in grado di supportare la tecnologia man mano che maturerà. La nuova implementazione utilizzerà l'algoritmo XTS-AES-256 come standard e richiederà Windows 11 24H2 o versioni successive per funzionare correttamente. Esistono tuttavia alcune configurazioni e scenari in cui l'accelerazione hardware non sarà disponibile, dettagliati nella documentazione ufficiale pubblicata dall'azienda. Per gli utenti finali, il passaggio alla versione accelerata avverrà in modo automatico sui sistemi compatibili, senza necessità di interventi manuali.