Szyfrowanie na poziomie plików chroni dane na poziomie logicznym. Są to rozwiązania obejmujące pliki i katalogi, a także chronione hasłem formaty archiwalne, np. pkzip. Szyfrowanie plików umożliwia ochronę specyficznych plików, tak więc nie marnuje się dodatkowych zasobów, wymaganych do szyfrowania i deszyfrowania dla mniej istotnych plików.

Narzędzia szyfrujące na poziomie plików należą do najbardziej dojrzałych rozwiązań kryptograficznych - zazwyczaj wykorzystują dobrze przetestowane standardy, takie jak 3DES (Data Encryption Standard), AES (Advanced Encryption Standard), Diffie-Hellman, Blowfish czy RSA (Random Scheduling Algorithm). Szyfrowanie plików jest też często dostępne na poziomie systemu operacyjnego. Microsoft zapewnia Encrypting File System (EFS), a Mac OS FileVault. Systemowy poziom szyfrowania często ma jednak problemy z poszerzaniem na nowe typy mediów lub na obce woluminy partycji, tak więc dominują tu rozwiązania na poziomie aplikacyjnym. Najbardziej popularne są te opracowane przez PGP i istnieją zarówno w wariancie komercyjnym, jak i open source.

Produkty szyfrowania na poziomie katalogów szyfrują zawartość całych katalogów. Trzeba jednak pamiętać, że wiele produktów deklarowanych jako szyfrujące na poziomie katalogów, nie szyfruje całego katalogu jako jeden obiekt - każdy plik katalogu szyfrowany jest osobno, z użyciem kluczy specyficznych dla plików lub głównego klucza szyfrowania katalogu, jak również kombinacji obu.

Produkty do szyfrowania na poziomie katalogów należą do popularnych i dojrzałych rozwiązań, mają jednak kilka poważnych wad, dlatego też są mniej wskazane. Trudno jest zapobiec niechronionemu wyciekowi danych przez pliki pomocnicze. Przykład: załóżmy że włącza się szyfrowanie katalogu dokumentów osobistych. Chociaż szyfrowanie na poziomie plików czy katalogów może zabezpieczyć wskazane pliki, jest bardzo prawdopodobne, że nie będzie obejmować plików tymczasowych, utworzonych przez aplikacje lub system operacyjny podczas otwierania, kopiowania czy transmisji. Jeżeli użytkownik nie będzie dokładnie znał i chronił wszystkich potencjalnych miejsc, gdzie dane mogą być tymczasowo przechowywane, to jest możliwe, że program analizy dysku odnajdzie takie pozostałości.

Niektóre rozwiązania szyfrujące obchodzą ten problem, szyfrując całe woluminy lub partycje, na których przechowywany jest plik. Może to być wykonywane na poziomie systemowym lub za pomocą odpowiedniej aplikacji. Niektóre produkty szyfrowania woluminów tworzą jeden duży plik logiczny reprezentujący zaszyfrowany wolumin.

Wadą szyfrowania woluminów czy partycji jest to, że ujawnienie pojedynczego klucza naraża na szwank wszystkie chronione pliki. Jest także możliwe, że napastnik umieści złośliwy kod, który przechwyci dane na drodze pomiędzy modułem szyfrującym a dyskiem, w istocie uzyskując wszystkie dane w jawnej postaci.

Wśród najsilniejszych rozwiązań są produkty szyfrujące na poziomie medium i jako takie zasługują na szczególną uwagę. Mogą szyfrować całe dyski - co jest określane jako "full-drive encryption" - lub wszystkie dane przesyłane do medium strumieniowego (np. taśm magnetycznych). Szyfrowanie na poziomie medium może być implementowane przez oprogramowanie aplikacyjne, system operacyjny lub sprzętowo.

Bazy danych wymagające ochrony zazwyczaj potrzebują szyfrowania na poziomie pól. Mogą być szyfrowane wzdłuż kolumn lub wierszy, ale preferowane jest zazwyczaj szyfrowanie elementów. Zasadniczo wszystkie dane przechowywane w tablicach bazy danych są szyfrowane przed zapamiętaniem w bazie danych i następnie deszyfrowane w locie. To stwarza dodatkowe wyzwania dla indeksowania i kwerendowania, i z tego powodu takie mechanizmy muszą być wbudowane w reguły szyfrowania na poziomie pól, używane do zapamiętywania tych danych. Większość takich rozwiązań jest specyficzna dla poszczególnych baz danych lub wymaga oprogramowania dostosowującego. Microsoft, IBM, Oracle, Sybase i inni dostawcy popularnych baz danych oferują rozwiązania szyfrowania na poziomie pól.

Niezwykle ważna jest ochrona danych w czasie ich transportu przez sieci niezabezpieczone. WWW wykorzystuje standard SSL/TLS. Transmisja sieciowa i VPN-y są często chronione przez SSL, SSH czy IPSec. Poczta elektroniczna może być chroniona z wykorzystaniem kryptografii asymetrycznej z PGP lub S/MIME. W coraz szerszym zakresie musi być stosowane uwierzytelnianie i szyfrowane formy, takie jak P2P i ruch komunikatorowy.

Zarządzanie kluczami

Bezpieczeństwo zaszyfrowanych danych zależy od algorytmu użytego do szyfrowania, długości klucza szyfrującego i sposobu implementacji tego algorytmu. Poza jakością technologii szyfrowania, ochrona danych jest na tyle bezpieczna, na ile bezpieczna jest strategia zarządzania kluczami. Strategia zapewniająca zbyt małe bezpieczeństwo kluczy jest jak zasuwa po niewłaściwej stronie drzwi, z drugiej strony strategia utrudniająca dostęp do kluczy może mieć wpływ na wydajność systemu i w końcowym efekcie obniżyć bezpieczeństwo, ponieważ administratorzy i użytkownicy mogą przejawiać skłonność do omijania środków bezpieczeństwa przy codziennym dostępie do danych.

Bezpieczne zarządzanie kluczami zależy od dwóch podstawowych czynników: gdzie przechowywane są klucze i kto ma do nich dostęp.

Zarządzanie kluczami szyfrującymi to często bardzo trudny do rozwiązania problem. Używanie pojedynczego klucza we wszystkich aplikacjach kryptograficznych jest pewnym ułatwieniem dla użytkowników, ale także ułatwia atak na wszystkie dane w razie kradzieży klucza. Ponieważ zaszyfrowane dane mogą być deszyfrowane odpowiednim kluczem, to system lub aplikacja powinna wiedzieć, jak taki klucz odszukać. Im więcej systemów wie, gdzie znajduje się klucz, tym większe ryzyko, że klucz może zostać ujawniony, jeżeli nie zastosuje się silnego systemu zarządzania dostępem.