การเข้ารหัสแบบเต็มดิสก์ ( FDE ) ที่ใช้ฮาร์ดแวร์นั้นมีให้บริการจากผู้ผลิตฮาร์ดดิสก์ไดรฟ์ (HDD/ SSD ) หลายราย รวมถึง Kingston Technology , Integral Memory, iStorage Limited, Micron , Seagate Technology , Sandisk , Samsung , Toshiba , Viasat UKและWestern Digitalกุญแจเข้ารหัสแบบสมมาตร จะถูกเก็บรักษาไว้อย่างอิสระจาก CPUของคอมพิวเตอร์ทำให้สามารถเข้ารหัสข้อมูลทั้งหมดได้ และขจัดความเสี่ยงที่หน่วยความจำคอมพิวเตอร์อาจถูกโจมตีได้

Hardware-FDE ประกอบด้วยส่วนประกอบหลักสองส่วน ได้แก่ ตัวเข้ารหัสฮาร์ดแวร์และที่เก็บข้อมูล ปัจจุบันมี Hardware-FDE หลายประเภทที่ใช้กันทั่วไป:

1. ฮาร์ดดิสก์ไดรฟ์ (HDD) หรือโซลิดสเตทไดรฟ์ (SSD) FDE (ไดรฟ์เข้ารหัสอัตโนมัติ)
2. ฮาร์ดดิสก์ไดรฟ์แบบปิด FDE
3. ฮาร์ดดิสก์ไดรฟ์แบบถอดได้ FDE
4. บริดจ์และชิปเซ็ต (BC) FDE

ฮาร์ดแวร์ที่ออกแบบมาเพื่อวัตถุประสงค์เฉพาะมักจะมีประสิทธิภาพดีกว่าซอฟต์แวร์เข้ารหัสข้อมูลบนดิสก์และฮาร์ดแวร์เข้ารหัสข้อมูลบนดิสก์สามารถทำงานได้อย่างโปร่งใสต่อซอฟต์แวร์มากกว่าการเข้ารหัสที่ทำในซอฟต์แวร์ ทันทีที่กำหนดค่าคีย์แล้ว โดยหลักการแล้วฮาร์ดแวร์ควรจะทำงานได้อย่างโปร่งใสต่อระบบปฏิบัติการและใช้งานได้กับทุกระบบปฏิบัติการ หากฮาร์ดแวร์เข้ารหัสข้อมูลบนดิสก์ถูกรวมเข้ากับสื่อบันทึกข้อมูลเอง สื่อบันทึกข้อมูลนั้นอาจได้รับการออกแบบให้ทำงานร่วมกันได้ดียิ่งขึ้น ตัวอย่างหนึ่งของการออกแบบดังกล่าวคือการใช้เซกเตอร์ทางกายภาพที่มีขนาดใหญ่กว่าเซกเตอร์เชิงตรรกะเล็กน้อย

โดยทั่วไปเรียกว่าไดรฟ์เข้ารหัสตัวเอง ( SED ) HDD หรือ SSD FDE ผลิตโดยผู้จำหน่าย HDD หรือ SSD โดยใช้ มาตรฐาน OPALและ Enterprise ที่พัฒนาโดยTrusted Computing Group ^{[ 1 ]}การจัดการคีย์เกิดขึ้นภายในตัวควบคุม ฮาร์ดดิสก์ และคีย์การเข้ารหัสคือ คีย์ Advanced Encryption Standard (AES) 128 หรือ 256 บิตการตรวจสอบสิทธิ์เมื่อเปิดเครื่องไดรฟ์จะต้องเกิดขึ้นภายในCPUผ่าน สภาพแวดล้อม การตรวจสอบสิทธิ์ก่อนบูตด้วยซอฟต์แวร์ (เช่น ด้วย ส่วนประกอบ การเข้ารหัสแบบเต็มดิสก์ที่ใช้ซอฟต์แวร์ - การเข้ารหัสแบบเต็มดิสก์แบบไฮบริด) หรือด้วย รหัส ผ่าน BIOSนอกจากนี้ SED บางตัวยังรองรับมาตรฐานIEEE 1667 ^{[ 2 ]}

Hitachi , Micron , Seagate , SamsungและToshibaเป็นผู้ผลิตดิสก์ไดรฟ์ที่นำเสนอ ไดรฟ์ Serial ATA ตามข้อกำหนด Trusted Computing Group Opal Storage Specification HDD กลายเป็นสินค้าโภคภัณฑ์ ดังนั้น SED จึงช่วยให้ผู้ผลิตไดรฟ์สามารถรักษารายได้ไว้ได้^{[ 3 ]} เทคโนโลยีที่เก่ากว่า ได้แก่ Seagate DriveTrust ที่เป็นกรรมสิทธิ์ และมาตรฐานคำสั่ง PATA Security ที่เก่ากว่าและมีความปลอดภัยน้อยกว่าซึ่งจัดจำหน่ายโดยผู้ผลิตไดรฟ์ทุกราย รวมถึงWestern Digital ไดรฟ์ SAS ระดับองค์กรของมาตรฐาน TCG เรียกว่าไดรฟ์ "TCG Enterprise"

ภายใน เคส ที่มีขนาดมาตรฐานของฮาร์ดไดรฟ์ จะประกอบไปด้วย ตัวเข้ารหัส (BC), ตัวจัดเก็บ คีย์และฮาร์ดดิสก์ไดรฟ์ขนาดเล็กกว่าที่หาซื้อได้ทั่วไป

• เคสของฮาร์ดดิสก์ไดรฟ์ที่ให้มานั้นสามารถออกแบบให้ป้องกันการแกะได้ดังนั้นเมื่อตรวจสอบแล้ว ผู้ใช้จึงมั่นใจได้ว่า ข้อมูลจะ ไม่ถูกบุกรุก
• อุปกรณ์อิเล็กทรอนิกส์ของระบบเข้ารหัส รวมถึง ที่เก็บ กุญแจและฮาร์ดไดรฟ์ในตัว (หากเป็นแบบโซลิดสเตท ) สามารถป้องกันได้ด้วยมาตรการตอบโต้การดัดแปลง อื่นๆ
• สามารถลบคีย์ทิ้งได้ซึ่งช่วยให้ผู้ใช้ป้องกันไม่ ให้ พารามิเตอร์การตรวจสอบสิทธิ์ ของตน ถูกนำไปใช้โดยไม่ทำลายข้อมูลที่เข้ารหัสไว้ ต่อมา สามารถโหลด คีย์ เดียวกันนั้น กลับเข้าไปในฮาร์ดดิสก์ไดรฟ์ FDE ที่ให้มา เพื่อเรียกคืนข้อมูลได้
• การดัดแปลงแก้ไขไม่ใช่ปัญหาสำหรับ SED เนื่องจากไม่สามารถอ่านข้อมูลได้หากไม่มีรหัสถอดรหัส ไม่ว่าจะสามารถเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ภายในได้หรือไม่ก็ตาม

ตัวอย่างเช่นViasat UK (เดิมคือ Stonewood Electronics)กับไดรฟ์ FlagStone, Eclypt ^{[ 4 ]}และ DARC-ssd ^{[ 5 ]}หรือ GuardDisk ^{[ 6 ]}ที่มีโทเค็น RFID

FDE ฮาร์ดไดรฟ์ที่ใส่เข้าไป ช่วยให้ สามารถใส่ฮาร์ดไดรฟ์แบบฟอร์มแฟคเตอร์ มาตรฐาน เข้าไปได้ แนวคิดนี้สามารถดูได้ที่ ^{[ 7 ]}

• นี่เป็นการปรับปรุงที่ดีกว่าการถอดฮาร์ดไดรฟ์ [ที่ไม่ได้เข้ารหัส] ออกจากคอมพิวเตอร์และเก็บไว้ในที่ปลอดภัยเมื่อไม่ได้ใช้งาน
• การออกแบบนี้สามารถใช้ในการเข้ารหัสไดรฟ์ หลายตัวโดยใช้ คีย์เดียวกันได้
• โดยทั่วไปแล้วจะไม่ล็อกอย่างแน่นหนา^{[ 8 ]}ดังนั้นอินเทอร์เฟซของไดรฟ์จึงเปิดกว้างต่อการโจมตี

ตัวเชื่อมต่อและชิปเซ็ตเข้ารหัส (BC) จะถูกติดตั้งอยู่ระหว่างคอมพิวเตอร์และฮาร์ดดิสก์ไดรฟ์มาตรฐาน โดยจะเข้ารหัสทุกเซกเตอร์ที่เขียนลงไป

อินเทลประกาศเปิดตัวชิปเซ็ต Danbury ^{[ 9 ]}แต่ได้ละทิ้งแนวทางนี้ไปแล้ว

การเข้ารหัสแบบฮาร์ดแวร์เมื่อติดตั้งไว้ในไดรฟ์หรือภายในตัวไดรฟ์ จะโปร่งใสต่อผู้ใช้อย่างเห็นได้ชัด ไดรฟ์จะทำงานเหมือนไดรฟ์ทั่วไป ยกเว้นการตรวจสอบสิทธิ์ในการบูตเครื่อง โดยไม่มีการลดประสิทธิภาพลง ไม่มีความยุ่งยากหรือภาระด้านประสิทธิภาพเพิ่มเติม ต่างจากซอฟต์แวร์เข้ารหัสดิสก์ เนื่องจาก ระบบปฏิบัติการและโปรเซสเซอร์ของคอมพิวเตอร์โฮสต์ มองไม่เห็นการเข้ารหัสทั้งหมด

การใช้งานหลักสองประการ ได้แก่ การปกป้อง ข้อมูลที่จัดเก็บอยู่และการลบข้อมูลลงดิสก์ด้วยวิธีการเข้ารหัส

สำหรับการปกป้องข้อมูลขณะจัดเก็บ (Data at rest protection) นั้น เพียงแค่ปิดเครื่องคอมพิวเตอร์หรือแล็ปท็อปเท่านั้น ดิสก์จะทำการปกป้องข้อมูลทั้งหมดโดยอัตโนมัติ ข้อมูลจะปลอดภัยเพราะข้อมูลทั้งหมด แม้แต่ระบบปฏิบัติการ ก็จะถูกเข้ารหัสด้วยโหมดการรักษาความปลอดภัยAESและถูกล็อกไม่ให้สามารถอ่านและเขียนได้ ไดรฟ์จะต้องใช้รหัสยืนยันซึ่งมีความแข็งแกร่งถึง 32  ไบต์ (256  บิต) เพื่อปลดล็อก

การทำลายข้อมูล ด้วยการเข้ารหัส (Crypto-shredding)คือการปฏิบัติในการ 'ลบ' ข้อมูลโดย (เพียง) การลบหรือเขียนทับคีย์การเข้ารหัส เมื่อมีการให้คำสั่งลบข้อมูลดิสก์ด้วยการเข้ารหัส (หรือ crypto erase) (ด้วยข้อมูลประจำตัวการตรวจสอบสิทธิ์ที่ถูกต้อง) ไดรฟ์จะสร้างคีย์การเข้ารหัสสื่อใหม่โดยอัตโนมัติและเข้าสู่สถานะ 'ไดรฟ์ใหม่' ^{[ 10 ]}หากไม่มีคีย์เก่า ข้อมูลเก่าจะไม่สามารถกู้คืนได้ ดังนั้นจึงเป็นวิธีการที่มีประสิทธิภาพในการทำให้ดิสก์สะอาดซึ่งอาจเป็นกระบวนการที่ยาวนาน (และมีค่าใช้จ่ายสูง) ตัวอย่างเช่น ฮาร์ดไดรฟ์คอมพิวเตอร์ที่ไม่ได้เข้ารหัสและไม่เป็นความลับซึ่งต้องทำให้สะอาดเพื่อให้สอดคล้องกับ มาตรฐาน ของกระทรวงกลาโหมจะต้องถูกเขียนทับมากกว่า 3 ครั้ง^{[ 11 ]}ดิสก์ SATA3 ระดับองค์กรขนาด 1 เทราไบต์จะใช้เวลาหลายชั่วโมงในการดำเนินการนี้ให้เสร็จสิ้น แม้ว่าการใช้ เทคโนโลยี ไดรฟ์โซลิดสเตท (SSD) ที่เร็วขึ้นจะช่วยปรับปรุงสถานการณ์นี้ แต่การนำไปใช้ในระดับองค์กรยังคงช้าอยู่^{[ 12 ]}ปัญหาจะยิ่งแย่ลงเมื่อขนาดของดิสก์เพิ่มขึ้นทุกปี ด้วยไดรฟ์ที่เข้ารหัส การลบข้อมูลอย่างสมบูรณ์และปลอดภัยใช้เวลาเพียงไม่กี่มิลลิวินาทีด้วยการเปลี่ยนคีย์ง่ายๆ ทำให้สามารถนำไดรฟ์กลับไปใช้งานใหม่ได้อย่างปลอดภัยและรวดเร็ว กระบวนการล้างข้อมูลนี้ได้รับการปกป้องใน SED โดยระบบจัดการคีย์ของไดรฟ์เองที่สร้างขึ้นในเฟิร์มแวร์ เพื่อป้องกันการลบข้อมูลโดยไม่ตั้งใจ โดยต้องใช้รหัสผ่านยืนยันและการตรวจสอบสิทธิ์ที่ปลอดภัยซึ่งเกี่ยวข้องกับคีย์เดิม

เมื่อคีย์ถูกสร้างขึ้นเองแบบสุ่ม โดยทั่วไปแล้วจะไม่มีวิธีการจัดเก็บสำเนาเพื่ออนุญาตให้กู้คืนข้อมูลในกรณีนี้ การปกป้องข้อมูลนี้จากการสูญหายหรือการโจรกรรมโดยไม่ได้ตั้งใจจะทำได้โดยผ่านนโยบายการสำรองข้อมูลที่สม่ำเสมอและครอบคลุม อีกวิธีหนึ่งคือการใช้คีย์ที่ผู้ใช้กำหนด สำหรับ FDE ของฮาร์ดดิสก์ไดรฟ์บางตัว^{[ 13 ]}ที่จะถูกสร้างขึ้นภายนอกแล้วโหลดเข้าไปใน FDE

ฮาร์ดแวร์รุ่นใหม่ๆ แก้ปัญหาการบูตจากอุปกรณ์อื่นๆ และการเข้าถึงข้อมูลโดยใช้ ระบบ Master Boot Record (MBR) สองชั้น โดย MBR สำหรับระบบปฏิบัติการและไฟล์ข้อมูลทั้งหมดจะถูกเข้ารหัส พร้อมกับ MBR พิเศษที่จำเป็นสำหรับการบูตระบบปฏิบัติการใน SED (Single Edge Device) คำขอข้อมูลทั้งหมดจะถูกดักจับโดยเฟิร์มแวร์ซึ่งไม่อนุญาตให้ทำการถอดรหัสเว้นแต่ระบบจะบูต จาก ระบบปฏิบัติการ SED พิเศษซึ่งจะโหลดMBRของส่วนที่เข้ารหัสของไดรฟ์ วิธีการทำงานคือการมีพาร์ติชั่น แยกต่างหาก ที่ซ่อนอยู่ ซึ่งประกอบด้วยระบบปฏิบัติการ ที่เป็นกรรมสิทธิ์ สำหรับระบบจัดการการเข้ารหัส นั่นหมายความว่าวิธีการบูตอื่นๆ จะไม่สามารถเข้าถึงไดรฟ์ได้

โดยทั่วไป FDE เมื่อปลดล็อกแล้ว จะยังคงปลดล็อกอยู่ตราบใดที่ยังมีไฟเลี้ยงอยู่^{[ 14 ]} นักวิจัยที่มหาวิทยาลัย Erlangen-Nürnbergได้สาธิตการโจมตีหลายรูปแบบโดยอาศัยการย้ายไดรฟ์ไปยังคอมพิวเตอร์เครื่องอื่นโดยไม่ต้องตัดไฟ^{[ 14 ]} นอกจากนี้ อาจเป็นไปได้ที่จะรีบูตคอมพิวเตอร์เข้าสู่ระบบปฏิบัติการที่ผู้โจมตีควบคุมโดยไม่ต้องตัดไฟไปยังไดรฟ์

เมื่อคอมพิวเตอร์ที่มีไดรฟ์เข้ารหัสอัตโนมัติเข้าสู่โหมดสลีป ไดรฟ์จะปิดการทำงาน แต่รหัสผ่านการเข้ารหัสจะยังคงอยู่ในหน่วยความจำเพื่อให้สามารถเรียกไดรฟ์กลับมาทำงานได้อย่างรวดเร็วโดยไม่ต้องขอรหัสผ่าน ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้เพื่อเข้าถึงไดรฟ์ทางกายภาพได้ง่ายขึ้น เช่น โดยการเสียบสายต่อพ่วง^{[ 14 ]}

เฟิร์มแวร์ของไดรฟ์อาจถูกบุกรุก^{[ 15 ] [ 16 ]}ดังนั้นข้อมูลใดๆ ที่ส่งไปยังไดรฟ์อาจตกอยู่ในความเสี่ยง แม้ว่าข้อมูลจะถูกเข้ารหัสบนสื่อทางกายภาพของไดรฟ์ก็ตาม ข้อเท็จจริงที่ว่าเฟิร์มแวร์ถูกควบคุมโดยบุคคลที่สามที่เป็นอันตรายหมายความว่าบุคคลที่สามนั้นสามารถถอดรหัสได้ หากข้อมูลถูกเข้ารหัสโดยระบบปฏิบัติการ และส่งในรูปแบบที่เข้ารหัสไปยังไดรฟ์ ก็จะไม่สำคัญว่าเฟิร์มแวร์จะเป็นอันตรายหรือไม่

โซลูชันฮาร์ดแวร์ได้รับการวิพากษ์วิจารณ์ว่ามีเอกสารประกอบที่ไม่ดี หลายแง่มุมเกี่ยวกับวิธีการเข้ารหัสไม่ได้ถูกเผยแพร่โดยผู้ผลิต ทำให้ผู้ใช้มีโอกาสน้อยที่จะประเมินความปลอดภัยของผลิตภัณฑ์และวิธีการโจมตีที่อาจเกิดขึ้น นอกจากนี้ยังเพิ่มความเสี่ยงต่อการ ผูกขาดจากผู้ผลิต อีกด้วย

นอกจากนี้ การนำการเข้ารหัสแบบเต็มดิสก์โดยใช้ฮาร์ดแวร์มาใช้ทั่วทั้งระบบนั้นเป็นเรื่องที่ทำได้ยากสำหรับหลายบริษัท เนื่องจากต้นทุนในการเปลี่ยนฮาร์ดแวร์ที่มีอยู่สูง ทำให้การย้ายไปใช้เทคโนโลยีการเข้ารหัสด้วยฮาร์ดแวร์ทำได้ยากขึ้น และโดยทั่วไปแล้วจะต้องมีโซลูชันการย้ายและการจัดการส่วนกลางที่ชัดเจนสำหรับทั้งโซลูชันการเข้ารหัสแบบเต็มดิสก์ โดยใช้ฮาร์ดแวร์และซอฟต์แวร์ ^{[ 17 ]}อย่างไรก็ตาม การเข้ารหัสแบบเต็มดิสก์ของฮาร์ดดิสก์แบบปิดและการเข้ารหัสแบบเต็มดิสก์ของฮาร์ดไดรฟ์แบบถอดได้มักจะติดตั้งบนไดรฟ์เดียว

• ซอฟต์แวร์เข้ารหัสดิสก์
• การทำลายคริปโต
• ข้อมูลจำเพาะการจัดเก็บโอปอล
• ยูบิเคย์
• การเข้ารหัสแบบเต็มดิสก์
• ไอบีเอ็มซี เซค บลู