Dataverlies dreigt door encryptiebug in Windows

Naast client-pc's met Windows 11 dreigt deze bug dus ook op servers met Windows Server 2022. In die twee besturingssystemen heeft Microsoft namelijk nieuwe codepaden toegevoegd die encryptie van data kunnen versnellen. Bij Windows 11 is dat gedaan in de oorspronkelijke release en bij Server 2022 in de SymCrypt-library op dat serverplatform. Die toevoegingen gebruiken vectorized AES (Advanced Encryption Standard) en benutten daarvoor AVX-registers (Advanced Vector Extensions) in nieuwere processors, legt Microsoft uit.

Sinds 2018-hardware

Terwijl Microsoft in zijn Knowledge Base-artikel over deze bug spreekt van "nieuwe hardware", gaat het om processors die sinds 2018 zijn uitgekomen. In dat jaar zijn namelijk de VAES-instructies uitgekomen, weet Neowin. Windows 11 trekt daar ook zo ongeveer de grens voor minimaal vereiste hardware. Voor de encryptiebug gaat het om Intel-processors vanaf de tiende generatie (Ice Lake), heeft Neowin uitgezocht, en om AMD-processors de Ryzen 5000-series (gebaseerd op de Zen 3-architectuur).

Systemen met die processors lopen risico van databeschadiging, wat Microsoft verder niet toelicht. Wel geeft de Windows-maker aan dat de uitgebrachte patches "verdere dataschade voorkomen". Deze updates zijn in juni uitgekomen, maar eind mei al als preview release uitgebracht. Deze patches hebben echter niet alleen een helende werking; ze hebben ook een neveneffect. "Na het toepassen van die updates kun je langzamere prestaties opmerken voor bijna een maand", meldt Microsoft. AES-gebaseerde versleuteling kan tot wel twee keer zo langzaam zijn.

Tijdelijk uitgeschakeld

Dit verlies in prestatieniveau betreft dan Windows' ingebouwde apparaatversleuteling BitLocker, encryptieprotocol TLS (Transport Layer Security) voor communicatieverbindingen, en datadoorvoer vanaf schijven. De impact op TLS raakt volgens Microsoft vooral load balancing servers. De prestatiedegradatie voor 'schijfverkeer' raakt vooral enterpriseklanten. Dit nadelige neveneffect van de fix voor de encryptiebug is echter tijdelijk, want Microsoft brengt een patch daarvoor. Die is eind juni als preview uitgekomen en mid juli als security release. Het lijkt er dus op dat de initiële fix neerkomt op het uitschakelen van de hardwarematig uitgevoerde versnelling van encryptiewerk, stelt Ars Technica.