Software-ul de criptare a discului este o metodă de criptare completă a discului, în care diferitele tipuri de software implementează diferite funcții și strategii pentru criptarea unei întregi unități de disc, cunoscută sub numele de criptare completă a discului (FDE). Printre diferitele metode, unele software-uri FDE vor necesita utilizarea unui hardware separat, fie pentru deblocarea unei unități, fie pentru stocarea cheilor de criptare sau, în unele cazuri, pentru ambele. Alte programe FDE pot debloca discul în momentul în care utilizatorul se conectează la computer, în timp ce altele nici măcar nu vor porni sistemul de operare al computerului fără autorizare. Încă alte tipuri se disting prin modul în care gestionează formatul discului și modul în care este generată criptarea din structura discului.
Unele implementări de software de criptare a discurilor au criptare refuzată. Aici, datele sunt imbricate, unde nivelurile inferioare li se poate refuza existența. Dacă utilizatorului i se cere să renunțe la parola din orice motiv, doar anumite date pot fi accesate, cum ar fi fișierele sistemului de operare, programele sau datele despre care utilizatorul a decis că nu sunt chiar atât de secrete. Utilizatorul demonstrează conformitatea renunțând la o parolă și aparent deblocând discul, dar datele secrete reale rămân ascunse sub o altă parolă care rămâne secretă.
În multe cazuri în care se folosește această dezmințire plauzibilă, software-ul creează un volum în interiorul unui volum. Partiția principală a discului este încărcată cu o singură parolă, care rulează sistemul de operare și software-ul, în timp ce o a doua partiție de disc invizibilă este accesibilă doar cu a doua parolă. Desigur, această metodă funcționează bine numai dacă atacatorul nu este capabil să vadă nicio caracteristică distinctivă a unei structuri de date criptate subiacente. Pentru a ocoli acest lucru, software-ul nu lasă urme care să indice dacă este utilizată criptarea discului. Pentru un observator din exterior, datele par aleatorii și neinteresante, cu excepția cazului în care cheia pentru a le debloca este cunoscută.
Unele software de criptare a discului sunt concepute pentru a suporta sau chiar necesita dispozitive hardware suplimentare care sunt folosite pentru a debloca discul. O astfel de metodă este utilizarea cardurilor de expansiune cu un procesor suplimentar pentru gestionarea criptării și decriptării datelor de pe unitate. Alte completări hardware, cum ar fi cardurile inteligente sau dongle-urile USB (universal serial bus), ar putea fi necesar să fie introduse în computer pentru a oferi cheia pentru deblocarea discului. Multe dintre aceste completări hardware aderă la specificația Trusted Platform Module (TPM), dar numai anumite tipuri de software de criptare a discurilor implementează în totalitate TPM.
În cele din urmă, diferite programe de criptare a discurilor pot funcționa utilizând un fișier ca volum criptat, o partiție logică separată a unei unități fizice sau întregul disc. Cu software-ul complet de criptare a discului, totul este securizat, inclusiv informațiile despre modul în care discul este partiționat, informațiile de pornire, precum și datele. Acest tip de software FDE va necesita probabil o parolă suplimentară de pre-pornire doar pentru ca computerul să pornească sistemul de operare. În plus, este posibil ca unele programe să nu poată gestiona criptarea pentru tehnicile de gestionare a energiei ale sistemului de operare, cum ar fi stările de repaus sau de hibernare.
Software-ul de criptare a discurilor nu este imun la tehnicile de atac. În unele software, atacurile de dicționar cu forță brută pot fi făcute împotriva parolelor. Alte tipuri de software pot folosi informații despre sectoarele discului în moduri nesecurizate, permițând detectarea fișierelor criptate pe un sistem. Un alt pericol constă în memoria cu acces aleatoriu (RAM) din computer, unde sistemul de operare a lăsat resturi ale cheilor de criptare. În ceea ce se numește un atac de pornire la rece, computerul poate fi repornit rapid și pornit dintr-un sistem de operare separat, care poate citi apoi ceea ce a rămas în memoria RAM a computerului.