Microsoft เปิดตัวฟีเจอร์ BitLocker ที่ใช้การเร่งความเร็วด้วยฮาร์ดแวร์ (Hardware-accelerated) ใน Windows 11 เพื่อตอบโจทย์ความกังวลด้านประสิทธิภาพ และความปลอดภัยที่เพิ่มขึ้น โดยอาศัยความสามารถของ Chip แบบ System-on-a-chip (SoC) และ CPU เข้ามาช่วย
BitLocker คือฟีเจอร์การเข้ารหัสข้อมูลทั้ง Disk ที่มีมาให้ในตัว Windows ซึ่งทำหน้าที่ปกป้องข้อมูลไม่ให้ถูกอ่านได้หากปราศจากการยืนยันตัวตนที่ถูกต้อง ในขั้นตอนการบูตเครื่องตามปกติ ระบบจะทำงานร่วมกับ Trusted Platform Module (TPM) เพื่อบริหารจัดการ Key เข้ารหัสอย่างปลอดภัย และปลดล็อก Drive ให้อัตโนมัติ
ทาง Microsoft ระบุว่า เนื่องจากหน่วยเก็บข้อมูลแบบ NVMe ในปัจจุบันมีประสิทธิภาพสูงขึ้นมาก ทำให้กระบวนการเข้ารหัสของ BitLocker ส่งผลกระทบต่อประสิทธิภาพโดยรวมชัดเจนยิ่งขึ้น โดยเฉพาะในการใช้งานหนัก ๆ เช่น การเล่นเกม หรือการตัดต่อวิดีโอ
ด้วยการใช้ การเร่งความเร็วด้วยฮาร์ดแวร์ภาระงานด้านการเข้ารหัสจำนวนมากจะสามารถถ่ายโอนไปยังส่วนประกอบของ Chip SoC (System-on-a-chip) ที่ติดตั้งโมดูลความปลอดภัยของฮาร์ดแวร์ (HSMs) และสภาพแวดล้อมการทำงานที่เชื่อถือได้ (TEEs) ซึ่งจะช่วยเพิ่มประสิทธิภาพในการเข้ารหัสได้อย่างมีนัยสำคัญ ส่งผลให้การใช้งาน CPU ลดลง และประสิทธิภาพโดยรวมของระบบดีขึ้น
Microsoft อธิบายว่า "เมื่อมีการเปิดใช้งาน BitLocker อุปกรณ์ที่รองรับซึ่งใช้งาน NVMe drive ควบคู่กับ Chip SoC รุ่นใหม่ที่สามารถถ่ายโอนภาระงานเข้ารหัสได้ จะถูกตั้งค่า Default ให้ใช้งาน BitLocker แบบเร่งความเร็วด้วยฮาร์ดแวร์ด้วย Algorithm แบบ XTS-AES-256 โดยอัตโนมัติ"
"ซึ่งครอบคลุมทั้งการเข้ารหัสอุปกรณ์แบบอัตโนมัติ, การเปิดใช้งาน BitLocker ด้วยตนเอง, การเปิดใช้งานผ่าน Policy หรือการเปิดใช้งานผ่าน Script โดยอาจมีข้อยกเว้นบางประการ"
ในการทดสอบการใช้งานจริง พบว่า BitLocker ที่ใช้การเร่งความเร็วด้วยฮาร์ดแวร์มีการใช้รอบการประมวลผลของ CPU (CPU cycles) ต่อ I/O น้อยลงถึงประมาณ 70% เมื่อเทียบกับ BitLocker ที่ทำงานด้วยซอฟต์แวร์ แม้ว่าผลลัพธ์อาจจะแตกต่างกันไปตามฮาร์ดแวร์ของแต่ละเครื่อง
นอกเหนือจากประสิทธิภาพที่เพิ่มขึ้นแล้ว ปัจจุบัน BitLocker ยังใช้ Hardware-protected key ซึ่งช่วยลดความเสี่ยงที่ข้อมูลจะถูกโจมตีทางไซเบอร์ผ่าน CPU และหน่วยความจำ อีกทั้งยังช่วยยกระดับความปลอดภัยโดยรวมควบคู่ไปกับการปกป้อง Key ผ่าน Trusted Platform Module (TPM)
Microsoft ระบุว่า สิ่งนี้เปรียบเสมือนการปูทางไปสู่กลไกที่จะขจัด Key ของ BitLocker ออกจาก CPU และหน่วยความจำได้อย่างสิ้นเชิงในอนาคต
ฟีเจอร์ BitLocker รูปแบบใหม่นี้เริ่มเปิดให้ใช้งานแล้วใน Windows 11 เวอร์ชัน 24H2 (หากมีการติดตั้งแพตช์อัปเดตประจำเดือนกันยายนเรียบร้อยแล้ว) และจะมีให้ใช้งานใน Windows 11 เวอร์ชัน 25H2 ด้วยเช่นกัน
การสนับสนุนในช่วงเริ่มต้นจะมาพร้อมกับระบบ Intel vPro ที่ใช้งานโปรเซสเซอร์ Intel Core Ultra Series 3 (“Panther Lake”) ส่วนผู้ผลิต Chip SoC รายอื่น ๆ จะทยอยได้รับการรองรับตามมาในภายหลัง
ผู้ใช้สามารถตรวจสอบสถานะการทำงานของ BitLocker ได้โดยการรันคำสั่ง manage-bde -status และสังเกตข้อความ 'Hardware accelerated' ในหัวข้อ Encryption Method
Microsoft ตั้งข้อสังเกตว่า BitLocker จะกลับไปทำงานในโหมด Software-based ตามค่า Default หากเข้าข่ายในกรณีดังต่อไปนี้
- มีการใช้ Algorithm ที่ไม่รองรับ
- มีการกำหนด Key size ด้วยตนเอง
- Policy ระดับองค์กรบังคับใช้ขนาด Key หรือ Algorithm ที่ไม่รองรับ
- มีการเปิดใช้งานโหมด FIPS แต่ Chip SoC ไม่ได้ระบุว่ามีความสามารถในการ Offload การเข้ารหัส และการ Key-wrapping ที่ผ่านการรับรองมาตรฐาน FIPS
ที่มา : bleepingcomputer
You must be logged in to post a comment.