El software de cifrado de disco es un método de cifrado de disco completo, donde los diferentes tipos de software implementan diferentes funciones y estrategias para el cifrado de una unidad de disco completa, conocido como cifrado de disco completo (FDE). Entre los diversos métodos, algunos programas de FDE requerirán el uso de hardware separado, ya sea para desbloquear una unidad, almacenar las claves de cifrado o, en algunos casos, ambas cosas. Otro software FDE puede desbloquear el disco en el momento en que el usuario inicia sesión en la computadora, mientras que otros ni siquiera arrancan el sistema operativo de la computadora sin autorización. Otros tipos se distinguen por la forma en que manejan el formato del disco y la forma en que se genera el cifrado a partir de la estructura del disco.
Algunas implementaciones de software de cifrado de disco tienen cifrado denegable. Aquí, los datos están anidados, donde a los niveles inferiores se les puede negar la existencia. Si el usuario debe entregar la contraseña por cualquier motivo, solo se puede acceder a ciertos datos, como archivos del sistema operativo, programas o datos que el usuario ha decidido que no son realmente tan secretos. El usuario muestra cumplimiento al dar una contraseña y aparentemente desbloquear el disco, pero los datos secretos reales permanecen ocultos debajo de otra contraseña que permanece secreta.
En muchos casos en los que se utiliza esta negación plausible, el software crea algo así como un volumen dentro de un volumen. La partición del disco principal se carga con una contraseña, que ejecuta el sistema operativo y el software, mientras que una segunda partición de disco invisible solo es accesible con la segunda contraseña. Por supuesto, este método solo funciona bien si el atacante no puede ver ninguna característica distintiva de una estructura de datos cifrada subyacente. Para evitar esto, el software no deja ninguna marca que indique si se está utilizando el cifrado de disco. Para un observador externo, los datos parecen aleatorios y poco interesantes, a menos que se conozca la clave para desbloquearlos.
Algunos programas de cifrado de discos están diseñados para admitir o incluso requerir dispositivos de hardware adicionales que se utilizan para desbloquear el disco. Uno de esos métodos es el uso de tarjetas de expansión con un procesador adicional para manejar el cifrado y descifrado de los datos en la unidad. Es posible que sea necesario insertar otras adiciones de hardware, como tarjetas inteligentes o dongles de bus serie universal (USB) en la computadora para proporcionar la clave para desbloquear el disco. Muchas de estas adiciones de hardware se adhieren a la especificación Trusted Platform Module (TPM), pero solo ciertos tipos de software de cifrado de disco implementan completamente el TPM.
Por último, varios software de cifrado de disco pueden funcionar utilizando un archivo como volumen cifrado, una partición lógica separada de una unidad física o todo el disco. Con el software de cifrado de disco completo, todo está protegido, incluida la información sobre cómo se particiona el disco, la información de arranque y los datos. Este tipo de software FDE probablemente requerirá alguna contraseña adicional previa al inicio solo para que la computadora inicie el sistema operativo. Además, es posible que algún software no sea capaz de manejar el cifrado para las técnicas de administración de energía del sistema operativo, como los estados de suspensión o hibernación.
El software de cifrado de disco no es inmune a las técnicas de ataque. En algunos programas, se pueden realizar ataques de diccionario de fuerza bruta contra las contraseñas. Otros tipos de software pueden utilizar información sobre los sectores del disco de forma no segura, lo que permite la detección de archivos cifrados en un sistema. Otro peligro radica en la memoria de acceso aleatorio (RAM) en la computadora, donde el sistema operativo ha dejado restos de las claves de cifrado. En lo que se llama un ataque de arranque en frío, la computadora se puede reiniciar rápidamente y arrancar desde un sistema operativo separado, que luego puede leer lo que queda en la RAM de la computadora.