对于三星 850 驱动器和其他 SSD，最佳和最安全的选择是通过在系统的 BIOS 中启用驱动器密码来使用 OPAL 全盘加密。

这些 SSD 上的加密工作方式是驱动器始终是加密的——它来自工厂，并带有生成和设置的加密密钥。它写入和读取的所有数据都使用此密钥加密/解密，没有任何内容是未加密的。

当您在 BIOS 中设置密码时，驱动器会使用您提供的密码对加密密钥（存储在驱动器控制器中）进行加密。因此，在您输入密码并为驱动器提供解密其自己的加密密钥所需的密钥之前，所有数据都是不可读的——即使对 SSD 本身也是如此。此外，如果不提供此密码，您将无法发出任何 SATA 命令，甚至无法格式化/重新调整驱动器的用途。

请注意，这对操作系统是透明的——加密在硬件级别处理，并在启动时通过 BIOS 进行解密。操作系统，不管它是什么，只会看到一个普通的 SSD 并与之正常交互。

当您使用三星软件对 SSD 进行“安全擦除”时，它实际上并没有“擦除”任何纯粹意义上的东西。使用 SSD，可以通过取证分析轻松恢复扇区的每次写入/重写。如果该数据已加密，您仍然可以恢复它——只要您拥有加密密钥。“安全擦除”功能的作用是将驱动器的内部 AES 加密密钥重置为新密钥；有效地重置驱动器。因此，驱动器上可以通过取证恢复的所有旧信息现在都被加密/甚至驱动器本身都无法读取，即使不是不可能，也使得数据恢复更具挑战性。

驱动控制器本身处理密码。如果您的 BIOS 支持 OPAL 或 SED 驱动器，则无法使用 BIOS 的超级用户密码绕过驱动器加密来更改磁盘密码。即使使用超级用户密码登录 BIOS，如果不提供现有 SSD 密码，您将无法更改 OPAL/SED SSD 上的密码（如果您的 BIOS 正确支持）。如果可以，这意味着您的 BIOS 从未与驱动器通信以首先设置密码。如果是这种情况，BIOS 不支持 OPAL，您也可以简单地将 SSD 插入另一台计算机并不受阻碍地对数据进行映像。大多数驱动器制造商都提供工具，您可以使用它来检查驱动器的状态是否为“加密”，这意味着已设置密码。

请注意，TrueCrypt 现已退役，并且关于该项目的代码库是否可能已被政府机构等实体破坏的猜测猖獗；或者如果创作者只是退休了。 这是一篇包含一些信息的文章。

另请注意，全盘加密的漏洞在于，当未使用加密数据/加密密钥不在内存中时，您的数据会受到保护——这意味着当您的计算机处于开启和使用状态时。如果对手在您的计算机运行时抓住了它，他们就有可能（尽管很困难）从系统 BIOS/驱动器控制器内存中恢复密钥。

当然，当系统运行时，全盘加密也不会保护您免受恶意软件或其他危害的影响。

链接

三星营销网站指出三星 850 SSD 支持 OPAL 加密

三星 SSD 白皮书详细介绍了加密的工作原理

我不知道具体型号，但这个答案适用于大多数自加密设备：

对于 SSD，使用内置 SED 加密的优势在于它可以利用修剪功能（磨损均衡）。

几年前，德国一家大型计算机杂志显示，许多内置的硬盘驱动器自加密功能执行不力http://www.heise.de/security/artikel/Windige-Festplattenverschluesselung-270702.html http://www.heise.de /security/artikel/Verschusselt-statt-verschluesselt-270058.html并且可以很容易地被解密（如果数据甚至被加密而不仅仅是密码保护！）。他们中的一些人声称使用 AES，但仅使用 AES 来加密密钥，但对数据使用了不安全的 XOR 加密。此外，当对数据使用 AES 时，他们可能会在错误的模式/组合中使用它。乍一看，OPAL 似乎只使用内置函数。

我不知道是否有可能像第二个链接那样绕过加密，但这对加密来说是一个非常糟糕的信号。

所以基本上问题是数据加密对您来说有多重要，以及您对内置加密的信任程度如何。如果没有值得信赖的外部安全公司对这个模型进行安全审计，我不会将它用于比给你妻子的秘密圣诞礼物清单更重要的事情。

对于其他任何事情，我都会使用独立加密，例如 truecrypt/LUKS/EncFS/... 。在 SSD 上使用全盘加密时，会留下一些未分区的空间用于磨损均衡。当使用像 EncFS 这样的基于文件的加密时，攻击者可以获得有关文件/文件夹结构和文件大小的信息。对一些人来说这是一个问题，对一些人来说不是。