基于硬件的固态硬盘加密是如何运作的？软件与硬件、AES 256 位和 TCG Opal 2.0

软件加密使用各种软件程序对逻辑卷中的数据加密。硬盘首次加密时，唯一密钥会生成并存储在计算机内存中。此密钥是利用用户密码进行加密的。当用户输入密码时，系统会解锁密钥，并允许用户访问硬盘中的未加密数据。密钥的副本还会写入硬盘。软件加密充当应用程序在设备上读取/写入数据的中间人；当数据要写入硬盘时，会使用密钥对数据加密，然后真正写入磁盘。当从硬盘读取数据时，会使用同一密钥解密数据，然后再提供给程序。

软件加密具有成本效益，但它的安全性最多与使用它的设备一样安全。如果黑客破解了代码或密码，加密的数据就会暴露。此外，由于加密和解密是通过处理器完成的，因此整个系统的运行速度会变慢。软件加密还存在另一个弱点：系统启动后，加密密钥存储在计算机内存中，因而容易成为低级攻击的目标。

自加密硬盘 (SED) 使用硬件加密，硬件加密采用更整体性的方法加密用户数据。SED 配备板载 AES 加密芯片，在数据写入 NAND 介质前加密数据，并在从 NAND 介质读取数据前解密数据。硬件加密位于硬盘上安装的操作系统和系统 BIOS 之间。当硬盘首次加密时，加密密钥会生成并存储在 NAND 闪存中。当系统首次启动时，自定义 BIOS 会加载并要求提供用户密码。输入密码后，会解密硬盘中的内容，并授予操作系统和用户数据访问权限。

自加密硬盘还利用板载加密芯片动态加密/解密数据，该芯片负责在数据写入 NAND 闪存前加密数据，并在读取数据前解密数据。主机 CPU 不参与这个加密流程，减少了与软件加密相关的性能损失。多数情况下，当系统启动时，加密密钥存储在固态硬盘板载内存中，这提高了密钥检索难度，更不易遭到低级攻击。这种硬件加密方法对用户不可见，提供了高水平的数据安全性。硬件加密无法被关闭，也不影响性能。