Le chiffrement intégral de disque BitLocker, devenu une norme de sécurité sur Windows, a longtemps été perçu comme un mal nécessaire, en raison d’un impact sur les performances. Microsoft a toujours visé un surcoût inférieur à 10 %, mais l’avènement des disques SSD NVMe a changé la donne.
Ces derniers atteignent des débits si élevés que le chiffrement logiciel en temps réel devient un goulot d’étranglement, consommant de précieuses ressources CPU et affectant les tâches intensives.
Comment fonctionne l’accélération matérielle ?
Pour résoudre ce dilemme, Microsoft a annoncé l’accélération matérielle pour BitLocker. Cette technologie transfère les opérations de chiffrement du processeur principal vers un moteur cryptographique dédié, intégré directement dans les futurs SoC et CPU.
En plus de libérer le processeur, cette approche renforce la sécurité. Les clés de chiffrement sont protégées matériellement, réduisant leur exposition aux vulnérabilités logicielles.
La protection s’ajoute à celle déjà offerte par le module TPM (Trusted Platform Module), avec pour objectif à terme » d’éliminer complètement les clés BitLocker du CPU et de la mémoire « .
Quels sont les gains de performance à attendre ?
Selon Microsoft, c’est une réduction moyenne de 70 % de l’utilisation des cycles CPU par rapport à la version logicielle de BitLocker. Les performances de stockage avec l’accélération matérielle approchent celles d’un disque NVMe non chiffré.
Sur des tests avec CrystalDiskMark, les vitesses de lecture séquentielle passent par exemple de 1 632 Mo/s à 3 746 Mo/s entre BitLocker sans et avec accélération matérielle.
Les vitesses d’écriture connaissent une amélioration similaire, passant de 1 513 Mo/s à 3 530 Mo/s, éliminant de fait le goulet d’étranglement du processeur.
Pas pour tout de suite cependant…
Avec Windows 11 24H2 et 25H2, le support initial de l’accélération matérielle pour BitLocker sera déployé pour les appareils Intel vPro équipés des processeurs Intel Core Ultra Series 3 (Panther Lake). Microsoft précise seulement qu’une compatibilité avec d’autres plateformes est prévue.