Você acabou de instalar um novo SSD auto-criptografado no seu PC com Windows 11 e habilitou o BitLocker. Quer confirmar se o BitLocker está usando a criptografia de hardware integrada da unidade em vez da criptografia por software, que é mais lenta. A criptografia de hardware transfere a carga de trabalho de criptografia para o controlador do SSD, reduzindo o uso da CPU e melhorando o desempenho do sistema. Este artigo explica como verificar se o BitLocker está usando criptografia de hardware no seu novo SSD e o que fazer se ele recorrer à criptografia por software.
Principais Conclusões: Verificando a Criptografia de Hardware do BitLocker em um Novo SSD
- manage-bde -status C: Execute este comando em um Prompt de Comando elevado para visualizar o método de criptografia e o status da criptografia de hardware para a unidade C
- Configurações > Privacidade e segurança > Criptografia de dispositivo > Criptografia de unidade do BitLocker: Navegue até este painel para ver o status geral da proteção, mas não o tipo de criptografia
- Windows PowerShell Get-BitLockerVolume: Use este cmdlet para obter o método de criptografia detalhado e a flag de criptografia de hardware para cada volume
O Que É Criptografia de Hardware do BitLocker e Por Que É Importante
O BitLocker pode usar dois métodos de criptografia: criptografia por software e criptografia de hardware. A criptografia por software usa a CPU para criptografar e descriptografar dados, consumindo poder de processamento e podendo desacelerar operações de leitura e gravação. A criptografia de hardware usa um motor de criptografia dedicado integrado ao controlador do SSD. Esse motor lida com todas as tarefas de criptografia sem envolver a CPU, resultando em impacto quase zero no desempenho.
Para que a criptografia de hardware funcione, várias condições devem ser atendidas. O SSD deve ser uma unidade auto-criptografada que suporte o padrão IEEE 1667. A unidade deve ter um controlador de armazenamento compatível com eDrive. O BitLocker deve detectar que a unidade suporta criptografia de hardware no momento em que a criptografia é habilitada. Se alguma condição falhar, o BitLocker recorre automaticamente à criptografia por software.
O Windows 11 não exibe o tipo de criptografia na interface gráfica do usuário. Você deve usar ferramentas de linha de comando para verificar o método de criptografia. As duas ferramentas principais são manage-bde.exe e o cmdlet Get-BitLockerVolume do PowerShell.
Como o BitLocker Detecta a Criptografia de Hardware
Ao habilitar o BitLocker em uma unidade, o Windows verifica os dados ATA ou NVMe Identify Device da unidade. Se a unidade relatar suporte para criptografia de hardware através do protocolo TCG Opal ou IEEE 1667, o BitLocker tenta usá-la. A chave de criptografia é gerada pelo controlador interno da unidade e armazenada em uma área protegida. O BitLocker então sela essa chave com o Trusted Platform Module do sistema.
Passos para Verificar o Status da Criptografia de Hardware do BitLocker Usando manage-bde
A ferramenta de linha de comando manage-bde fornece uma maneira rápida de verificar o status da criptografia. Você deve executá-la a partir de um Prompt de Comando elevado ou sessão do PowerShell.
- Abra o Prompt de Comando como administrador
Pressione a tecla Windows, digite cmd, clique com o botão direito em Prompt de Comando nos resultados da pesquisa e selecione Executar como administrador. Clique em Sim na solicitação do Controle de Conta de Usuário. - Execute o comando manage-bde status
Digite o seguinte comando e pressione Enter:manage-bde -status C:
SubstituaC:pela letra da unidade do seu novo SSD se for diferente. - Interprete a saída para criptografia de hardware
Procure a linha que diz Método de Criptografia. Se o valor for Criptografia de Hardware, o BitLocker está usando o motor de criptografia integrado da unidade. Se o valor for XTS-AES 128 bits ou XTS-AES 256 bits sem as palavras “Criptografia de Hardware,” então a criptografia por software está sendo usada.
A saída também mostra o Status de Conversão (por exemplo, “Totalmente Criptografado”) e o Status de Proteção (por exemplo, “Proteção Ativada”). Eles não indicam se a criptografia de hardware está ativa.
Passos para Verificar o Status da Criptografia de Hardware do BitLocker Usando PowerShell
O cmdlet Get-BitLockerVolume fornece informações mais detalhadas do que o manage-bde. Ele mostra o método de criptografia e uma flag dedicada de criptografia de hardware.
- Abra o Windows PowerShell como administrador
Pressione a tecla Windows, digite PowerShell, clique com o botão direito em Windows PowerShell nos resultados e selecione Executar como administrador. Clique em Sim na solicitação do Controle de Conta de Usuário. - Execute o comando Get-BitLockerVolume
Digite o seguinte comando e pressione Enter:Get-BitLockerVolume -MountPoint "C:" | Format-List
Este comando recupera todas as propriedades da unidade e as exibe em formato de lista. - Verifique os campos EncryptionMethod e HardwareEncryption
Na saída, localize o campo EncryptionMethod. Se mostrar HardwareEncryption, a criptografia de hardware está ativa. Procure também o campo HardwareEncryption. Se mostrar True, a unidade está usando criptografia de hardware. Se mostrar False, a criptografia por software está sendo usada.
Você também pode executar o comando sem o pipe | Format-List para ver uma visualização em tabela. A visualização em tabela mostra as propriedades principais, mas pode truncar o valor de EncryptionMethod.
Se o BitLocker Usar Criptografia por Software em Vez de Criptografia de Hardware
Se a verificação mostrar criptografia por software, o SSD pode não suportar criptografia de hardware, ou o BitLocker pode não ter detectado a capacidade. Verifique as possíveis causas a seguir.
SSD Não Suporta Criptografia de Hardware
Nem todos os SSDs incluem um motor de criptografia de hardware. Unidades de nível consumidor frequentemente omitem esse recurso. Verifique as especificações do fabricante para os termos “unidade auto-criptografada,” “TCG Opal 2.0” ou “IEEE 1667.” Se a unidade não tiver esses recursos, o BitLocker deve usar criptografia por software.
BitLocker Foi Habilitado Antes da Unidade Ser Reconhecida como eDrive
O BitLocker detecta a criptografia de hardware apenas no momento em que a criptografia é habilitada. Se você habilitou o BitLocker antes que as capacidades eDrive da unidade fossem totalmente reconhecidas, o BitLocker usa criptografia por software como padrão. A única maneira de mudar para criptografia de hardware é desabilitar o BitLocker, reiniciar o sistema e habilitar o BitLocker novamente.
Problemas de Firmware ou Driver da Unidade
Firmware desatualizado do SSD ou um driver de armazenamento genérico pode impedir que o BitLocker detecte a criptografia de hardware. Atualize o firmware do SSD usando o utilitário do fabricante. Certifique-se de que o driver de armazenamento seja a versão mais recente do fabricante, não o driver genérico da Microsoft.
Métodos de Criptografia do BitLocker: Software vs Hardware
| Item | Criptografia por Software | Criptografia de Hardware |
|---|---|---|
| Uso da CPU | Alto durante operações de leitura e gravação | Próximo de zero |
| Impacto no desempenho | Perceptível em CPUs mais lentas | Nenhum impacto mensurável |
| Localização do motor de criptografia | CPU | Controlador do SSD |
| Tipos de unidade suportados | Qualquer unidade | Apenas unidades auto-criptografadas |
| Método de detecção | manage-bde mostra XTS-AES 128 ou 256 | manage-bde mostra Criptografia de Hardware |
Se a Unidade Mostrar Criptografia por Software Após Reabilitar o BitLocker
Se você desabilitar e reabilitar o BitLocker e a unidade ainda mostrar criptografia por software, o SSD pode não suportar criptografia de hardware apesar das alegações do fabricante. Algumas unidades anunciam suporte a eDrive, mas falham nas verificações de certificação do Windows. Nesse caso, a criptografia por software é a única opção. A diferença de desempenho é insignificante em processadores modernos com instruções AES-NI.
Você também pode verificar o suporte a criptografia de hardware da unidade usando o comando fsutil. Abra um Prompt de Comando elevado e execute fsutil fsinfo drives para listar as unidades, depois execute fsutil fsinfo ntfsinfo C: e procure o campo Suporte a Criptografia de Hardware. Se mostrar 0, a unidade não suporta criptografia de hardware.
Agora você pode verificar com confiança se seu novo SSD usa criptografia de hardware com o BitLocker. Use os comandos manage-bde ou PowerShell para verificar o método de criptografia. Se encontrar criptografia por software, verifique as especificações e o firmware da unidade. Reabilitar o BitLocker após garantir que a unidade seja reconhecida corretamente pode ativar a criptografia de hardware. Como dica avançada, use Get-BitLockerVolume com o parâmetro -Verbose para ver logs detalhados de detecção durante a criptografia.