我的系统：

• 英特尔酷睿i7-4790，支持AES-NI
• 华硕Z97-PRO主板
• 三星250GB EVO SSD（具有内置加密选项）
• 64位Windows 7

如果我只想用AES256或类似的加密我的启动驱动器，那么区别/更快的性能/更安全？翻转Windows Bitlocker并不使用SSD加密，或者启用SSD提供的内置驱动器加密，并且不用担心Bitlocker吗？

我想通过使用Evo的加密选项将加密卸载到SSD可能更好，这样处理器就不必进行任何加密，这可能对I / O性能更好，并让CPU喘口气。 ？还是因为此CPU具有AES-NI，这可能没有关系吗？

我是Bitlocker和这个SSD加密选项的新手，因此非常感谢您的帮助。

这是一个老问题，但是自那时以来，已经发现了有关Bitlocker和驱动器加密（单独使用或结合使用）的一些新进展，因此，我将在页面上的几点评论变为答案。也许对在2018年及以后进行搜索的人有用。

Bitlocker（单独）：历史上
有多种破解Bitlocker的方法，幸运的是，大多数方法已在2018年得到修补/缓解。剩下的（已知）包括例如最新版本的“冷启动攻击”其中确实不是Bitlocker专用的（您需要对正在运行的计算机进行物理访问，并直接从内存中窃取加密密钥以及其他任何内容）。

SSD驱动器硬件加密和Bitlocker：
2018年出现了一个新漏洞；如果SSD磁盘具有大多数SSD所具有的硬件加密功能，则Bitlocker默认使用该加密功能。这意味着，如果加密本身已被破解，则用户实际上根本没有任何保护。
已知受到此漏洞影响的驱动器包括（但不限于）：
Crucial MX100，MX200，MX300系列Samgung 840 EVO，850 EVO，T3，T5

有关SSD加密问题的更多信息，请参见：https :
//twitter.com/matthew_d_green/status/1059435094421712896

实际的论文（如PDF）在这里更深入地研究了这个问题：
t.co/UGTsvnFv9Y?amp=1

所以答案确实是；由于Bitlocker使用磁盘硬件加密，并且还具有自身的漏洞，因此，如果SSD不在破解的SSD列表中，则最好使用硬件加密。

如果您的磁盘在列表中，那么最好不使用其他任何东西，因为Bitlocker仍然会使用驱动器加密。问题是什么？例如，在Linux上，我建议使用LUKS。

我一直在对此进行一些研究，并为您提供了一个完整的答案。

1. 最好在自加密驱动器上使用基于硬件的加密，如果在bitlocker或其他加密程序上使用基于软件的加密，则会导致读写速度下降25％到45％之间。您可能会看到性能下降至少10％。（请注意，您必须具有带TMP芯片的SSD）

2. Bitlocker与基于硬件的加密兼容，可以使用三星魔术。v 4.9.6（v5不再支持此功能）擦除驱动器并启用基于硬件的加密。

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. 您可以通过设置主密码来通过BIOS启用基于硬件的加密。您将需要执行上述文章中的某些步骤，例如关闭CMS。

4. 要回答您的问题，我真的不知道哪个更快。我已经联系了三星，但给出的信息有限。除非有开发人员，否则我会怀疑我会得到一个好的选择。目前，我计划在我的BIOS中启用基于硬件的加密。

我不熟悉您的驱动器及其提供的加密选项，但是硬件加密可以与多个操作系统一起使用（例如，当您要双重启动Windows和Linux时），而软件加密可能很难配置。同样，两种方法的安全性取决于存储加密密钥的方式和位置。

我认为通过使用Evo的加密选项将加密卸载到SSD可能更好，这样处理器就不必进行任何加密，这可能对I / O性能更好，并让CPU喘口气。 ？

没错，基于硬件的加密不会降低计算机的处理速度。

我从来没有在任何设备上使用过加密，所以很抱歉无法为您提供启用加密的实际过程。请注意，在大多数情况下，启用加密会导致驱动器被擦除（BitLocker不会擦除数据，但是，与所有实时加密软件一样，它极有可能遭到破坏）。如果要使多操作系统兼容的加密驱动器在计算机关闭之前一直保持解锁状态，请使用硬盘驱动器提供的硬件加密功能。但是，如果您想要更安全一些但仅限于Windows的东西，请尝试使用BitLocker。希望我能帮上忙！

让我们做一些维基百科。

BitLocker

BitLocker是完整的磁盘加密功能。它旨在通过为整个卷提供加密来保护数据。

BitLocker是逻辑卷加密系统。一个卷可能是也可能不是整个硬盘驱动器，或者它可以跨越一个或多个物理驱动器。另外，启用后，TPM和BitLocker可以确保受信任的引导路径（例如BIOS，引导扇区等）的完整性，以防止大多数脱机物理攻击，引导扇区恶意软件等。

根据Microsoft的说法，BitLocker不包含有意内置的后门。如果没有后门，则执法部门无法保证对Microsoft提供的用户驱动器上的数据进行传递。

自加密驱动器

当内置在驱动器中或驱动器机箱内时，基于硬件的加密对用户来说是透明的。除启动身份验证外，该驱动器的运行方式与任何驱动器一样，并且不会降低性能。与磁盘加密软件不同，它没有复杂性或性能开销，因为所有加密对于操作系统和主机计算机处理器都是不可见的。

两个主要用例是“静态数据保护”和“加密磁盘擦除”。

在“静态数据保护”中，仅关闭笔记本电脑的电源。磁盘现在可以自我保护其上的所有数据。数据是安全的，因为所有数据（包括操作系统）现在都已使用AES的安全模式进行了加密，并且无法读写。该驱动器需要一个验证码，该验证码可以长达32个字节（2 ^ 256）来解锁。

典型的自加密驱动器一旦解锁，只要提供电源，便会保持解锁状态。厄兰根大学-纽伦堡大学的研究人员展示了许多基于将驱动器移动到另一台计算机而没有切断电源的攻击。此外，有可能在不切断驱动器电源的情况下将计算机重新引导到攻击者控制的操作系统。

判决

我认为最重要的几行是：

与磁盘加密软件不同，它没有复杂性或性能开销，因为所有加密对于操作系统和主机计算机处理器都是不可见的。

典型的自加密驱动器一旦解锁，只要提供电源，便会保持解锁状态。

因为BitLocker是磁盘加密软件，所以它比基于硬件的完整磁盘加密要慢。但是，自加密驱动器自上次解锁以来一直保持通电状态。关闭计算机即可固定驱动器。

因此，您将拥有更安全的BitLocker或更高性能的自加密驱动器。

更新：我相信这个答案是正确的，并且是企业在硬件和安全操作方面的现实生活经验的一个例子。也许我未能在最初的答案中提供详细信息，这导致了投票的失败，但也提供了对思考过程的洞察力，从而获得了整个社区的更结论性的答案。自启动以来，Windows但更衣室一直受到损害，这是一个众所周知的问题，它不包含在企业Windows操作系统中，但可供消费者级别的软件包使用，用于安全/创可贴层（NSA后门）。

三星EVO SSD的内置加密功能是我的最佳选择，因为它经过了原生优化，并且是企业环境中安全性最好的SSD之一。同样，如果您遗失了钥匙，三星可以通过SSD上的序列号将其解锁以收费。