微软本周宣布推出硬件加速的BitLocker，取代CPU加速，以提升Windows 11机器的运行性能，并减少密钥暴露风险。新功能已于9月加入Windows 11 24H2/25H2，并计划借由新一代CPU/SoC普及到次世代PC。

　　微软说明，过去BitLocker的性能损耗大多只有个位数百分比，几乎感觉不到，这是因为传统SSD I/O本来就慢。但随着更高速I/O的非挥发内存Express（NVMe）磁盘快速普及，但使得BitLocker运行对PC性能影响变得更显著。在现有搭载NVMe的Windows PC上，需要高I/O及高数据吞吐量的应用用户，如处理大型视频文件的专业工作者、汇编大型程序库的开发人员、或是对延迟性锱铢必较的游戏玩家兼顾数据安全及速度，BitLocker造成的性能或CPU耗用会变得更难以忍受。

　　为平衡高性能和安全性，微软在上个月的Ignite大会上推出硬件加速的BitLocker（Hardware-Accelerated BitLock）。微软强调，最新一代BitLocker并不只是小改小修，而是加入了真正新的架构性功能。

　　微软说明，新BitLocker有两项重大变革。一是将加密工作从CPU卸载到专用加密引擎上，以便主要CPU资源能用于主要任务需求，提升性能及减少电力耗用。第二是密钥由硬件防护。如果机器的SoC芯片支持，BitLocker可自动切换，将加密密钥交由硬件层隔离与封装，以免于暴露CPU及内存，可降低旁路攻击及内存漏洞暴露密钥的风险。微软说这是在TPM（Trusted Platform Module）防护机制外的新一层安全机制。

　　Windows 11 24H2的9月Windows更新、Windows 11 25H2已包含新BitLocker。

　　新BitLocker也会配合未来搭载新SoC及CPU提供于新Windows机器。第一批支持的新CPU/SoC包括Intel Core Ultra Series 3（代号Panther Lake），微软计划未来持续增加其他支持的厂商和CPU平台。

　　Windows PC可提供自动BitLocker加密、手动启动、政策驱动、或是script启动。若PC启动新一代BitLocker，若（搭载NVMe磁盘的）Windows 11机器的SoC芯片支持，Windows就会默认使用新的硬件加速BitLocker和TS-AES-256算法。

　　不过，若企业指定SoC不支持的加密算法、密钥长度，或激活了特定政策，Windows将退回使用传统的软件型BitLocker。

　　配合NVMe磁盘的普及，微软本月稍早宣布Windows Server 2025加入NVMe原生支持，有望最多提高NVMe I/O速度80%。