使用 Bitlocker 还是我的 SSD 提供的内置驱动器加密更好？

这是一个老问题，但自那时以来，人们发现了有关 Bitlocker 和驱动器加密（单独使用或组合使用）的几个新进展，因此我将把页面上的几条评论转化为答案。也许这对 2018 年及以后进行搜索的人有用。

Bitlocker（单独）：
在 Bitlocker 的历史上，有几种方法可以破解它，幸运的是，其中大多数已经在 2018 年得到修补/缓解。剩下的（已知）攻击包括“冷启动攻击”——其最新版本实际上并不是 Bitlocker 独有的（您需要物理访问正在运行的计算机并直接从内存中窃取加密密钥和其他任何东西）。

SSD 驱动器硬件加密和 Bitlocker：
2018 年出现了一个新漏洞；如果 SSD 磁盘具有硬件加密（大多数 SSD 都有），Bitlocker 默认只使用硬件加密。这意味着如果加密本身被破解，用户基本上没有任何保护。
已知受此漏洞影响的驱动器包括（但可能不限于）：
Crucial MX100、MX200、MX300 系列 Samgung 840 EVO、850 EVO、T3、T5

有关 SSD 加密问题的更多信息，请参见此处：
https://twitter.com/matthew_d_green/status/1059435094421712896

实际的论文（PDF 格式）对这个问题进行了更深入的探讨：
t.co/UGTsvnFv9Y?amp=1

所以答案实际上是；由于 Bitlocker 使用磁盘硬件加密，并且在此基础上有自己的漏洞，如果您的 SSD 不在破解 SSD 列表中，那么您最好使用硬件加密。

如果您的磁盘在列表中，您最好使用其他东西，因为 Bitlocker 无论如何都会使用驱动器加密。问题是什么；例如，在 Linux 上，我推荐 LUKS。

我一直在对此进行研究并为您提供了半完整的答案。

1. 在自加密驱动器上使用基于硬件的加密总是更好的，如果您在 bitlocker 或其他加密程序上使用基于软件的加密，则会导致读写速度降低 25% 到 45%。您可能会看到性能下降至少 10%。（请注意，您必须拥有带有 TMP 芯片的 SSD）

2. Bitlocker 与基于硬件的加密兼容，您可以使用三星 magic.v 4.9.6（v5 不再支持此功能）来擦除驱动器并启用基于硬件的加密。

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. 您可以通过设置主密码在 BIOS 中启用基于硬件的加密。您需要按照上述文章中的一些步骤操作，例如关闭 CMS。

4. 回答你的问题，我真的不知道哪个更快。我已经联系了三星，但鉴于这方面的信息有限。除非我找到开发人员，否则我怀疑我会得到一个好的答案，即哪个是更好的选择。目前，我计划在我的 bios 中启用基于硬件的加密。

我不太了解您的驱动器及其提供的加密选项，但硬件加密可用于多种操作系统（例如，当您想要双启动 Windows 和 Linux 时），而软件加密可能更难配置。此外，这两种方法的安全性取决于您存储加密密钥的方式和位置。

我认为最好使用 Evo 的加密选项将加密卸载到 SSD，这样处理器就不必进行任何加密，这可能更有利于 i/o 性能并让 CPU 得到喘息？

你说的对，基于硬件的加密不会降低计算机的处理速度。

我从未在任何设备上使用过加密，所以很抱歉我无法帮助您实际启用它。请注意，在大多数情况下，启用加密会导致驱动器被擦除（BitLocker 不会擦除数据，但它损坏的可能性极小，就像所有实时加密软件一样）。如果您想要拥有多操作系统兼容的加密驱动器，并且在计算机关闭之前保持解锁状态，请使用硬盘提供的硬件加密功能。但是，如果您想要更安全但仅限于 Windows 的东西，请尝试 BitLocker。希望我有所帮助！

更新：我相信这个答案是正确的，也是企业在硬件和安全操作方面的真实经验的一个例子。也许我未能在最初的回答中提供细节，这导致了反对票，但也提供了对整个社区更具结论性答案的思考过程的洞察。Windows 但 Locker 自推出以来就一直受到攻击，这是一个众所周知的问题，它不包含在企业 Windows 操作系统中，但可用于消费者级软件包，以提供一层安全/创可贴，NSA 后门。

我会选择三星 EVO SSD 的内置加密功能，因为它经过了原生优化，是目前企业环境中安全性最好的 SSD 之一。此外，如果您丢失了密钥，三星可以通过 SSD 上的序列号为您解锁，但需要付费。