一些固态硬盘宣称支持“硬件加密”。如果您在Windows上启用BitLocker，Microsoft将信任您的SSD，并且不会执行任何操作。但研究人员发现，许多SSD的工作做得很糟糕，这意味着BitLocker没有提供安全的加密。

更新：微软已就此问题发布安全忠告。它包含一个命令，您可以使用该命令检查您使用的是硬件加密还是软件加密。

更新：近一年后，BitLocker不再信任您的SSD，因此您可以再次信任它。

许多固态硬盘没有正确实施加密

即使您在系统上启用了BitLocker加密，Windows 10也可能实际上没有加密您的数据。取而代之的是，Windows10可能依赖于你的固态硬盘来实现这一点，而且你的固态硬盘的加密可能很容易被破解。

这是拉德本大学研究人员的一篇新论文得出的结论。他们对许多固态硬盘的固件进行了反向工程，发现许多固态硬盘中的“硬件加密”存在各种问题。

研究人员测试了Critical和三星的硬盘，但如果其他制造商有重大问题，我们绝对不会感到惊讶。即使您没有任何这些特定的驱动器，您也应该担心。

例如，关键的MX300在默认情况下包括一个空的主密码。是的，没错-它的主密码设置为零，并且该空密码允许访问加密您的文件的加密密钥。这太疯狂了。

BitLocker信任固态硬盘，但固态硬盘没有发挥作用

这通常不会有什么关系-毕竟，谁在SSD上使用硬件加密？Windows用户将改用BitLocker。BitLocker会在将文件存储到固态硬盘之前对其进行加密，对吗？

不对。如果您的计算机有一个固态驱动器，表明它可以处理硬件加密，则BitLocker根本不会执行任何操作。BitLocker只是信任固态硬盘来加密您的文件，放弃所有责任。而且，正如研究人员发现的那样，固态硬盘制造商在正确实施加密方面遇到了一些严重的问题。

即使您选择使用BitLocker对笔记本电脑的硬盘进行加密，您现在也要依赖于笔记本电脑中生产SSD的任何一家公司。您相信笔记本电脑中驱动器的制造商做得很好吗？你知道你的笔记本电脑的内置固态硬盘是哪家公司生产的吗？您的笔记本电脑制造商在选择硬盘供应商之前有没有考虑过这一点？

正如微软的文档所说，Windows7上的BitLocker不支持“将加密卸载到加密的硬盘上”。换句话说，这是Windows10的一项新功能，因此Windows7系统不会出现同样的问题。

如何使BitLocker使用软件加密

如果您在SSD上使用BitLocker加密，您可以告诉BitLocker避免使用基于硬件的加密，而使用基于软件的加密。但这需要组策略。组策略仅在Windows 10专业版上可用，但标准版本的BitLocker也是如此。

在一台PC上，按Windows+R组合键打开本地组策略编辑器，在运行对话框中键入“gpedit.msc”，然后按Enter键。

前往以下位置：

双击右窗格中的“为固定数据驱动器配置基于硬件的加密”选项。

选择“Disabled”(禁用)选项，然后单击“OK”(确定)。

Microsoft表示，在此更改生效之前，您必须先解密驱动器，然后再重新加密。

如何在没有BitLocker的情况下加密固态硬盘

除了依赖BitLocker，您还可以使用开源的VeraCrypt工具来加密您的Windows系统驱动器或任何其他驱动器。它基于TrueCrypt软件，您可能听说过。

与BitLocker不同，Windows10家庭版和Windows7家庭版用户也可以使用VeraCrypt。你不用付100美元的加密费。VeraCrypt从不依赖SSD进行加密工作-VeraCrypt总是自己处理加密。

警告：过去，Windows10的一些重大更新曾导致VeraCrypt出现问题。我们建议手头备有救援媒体，以防万一。如果您坚持使用BitLocker，则不会出现这些问题，因此我们建议您使用BitLocker并禁用硬件加密。

相关：如何使用VeraCrypt加密Windows系统驱动器

为什么BitLocker信任固态硬盘？

如果可用，基于硬件的加密可能比基于软件的加密更快。因此，如果SSD拥有可靠的基于硬件的加密技术，那么依赖该SSD将提高性能。

不幸的是，似乎许多固态硬盘制造商都不能信任他们能正确实施这一点。如果您需要加密，最好使用BitLocker的基于软件的加密，这样您就不必信任SSD的安全性。

在一个完美的世界里，硬件加速加密肯定更好。这也是苹果在其新款Mac上安装T2安全芯片的原因之一。T2芯片使用硬件加速的加密引擎来快速加密和解密存储在Mac内部固态硬盘上的数据。

但你的Windows PC没有使用这样的技术-它的固态硬盘来自制造商，可能没有花太多时间考虑安全问题。这可不是什么好事。