En rapport har fundet ud af, at tidlige mobilnetværk i 1990'erne og 2000'erne bevidst blev bagdøre, hvilket blev bekræftet af ETSI.
Forskere fra flere universiteter i Frankrig, Tyskland og Norge har konkluderet, at krypteringsalgoritmen GEA-1, der blev brugt i de tidlige mobile datanetværk i 1990'erne og 2000'erne, var bevidst bagdør, da det blev indført. GPRS er en mobildatastandard baseret på 2G-teknologi, og mange lande og netværksudbydere er stadig afhængige af den som en reserve for mobildata, SMS og telefonopkald. GEA-1-kryptering bruges mellem telefonen og basestationen, men det har vist sig at være svækket bevidst. GEA-2, efterfølgeren til GEA-1, blev også fundet at have subpar beskyttelse, selvom der ikke blev fundet beviser for en bevidst bagdør.
Selvom GEA-1 eller GEA-2 er proprietære krypteringsalgoritmer, har forskerne fået dem fra "en kilde, der foretrækker at forblive anonym." Ifølge til rapporten er der en stærk statistisk sandsynlighed for, at GEA-1-algoritmen var væsentligt svækket og faktisk ikke 64-bit sikker som annonceret. I stedet gav den kun 40-bit sikkerhed; 40-bit kryptering giver meget svag sikkerhed, som et netværk af computere
I deres forsøg på at reverse engineering af både GEA-1 og GEA-2 opdagede forskerne, at deres genskabelse af GEA-1-algoritmen var meget mere sikker end den oprindeligt implementerede algoritme. Forskerne konkluderede, at dette ikke var tilfældigt, og at det var en bevidst designbeslutning fra dem, der havde designet GEA-1-algoritmen til mobilnetværk i første omgang. Avisen siger, at "konkret, i en million forsøg kom vi aldrig i nærheden af en så svag instans". I dette tilfælde, når det kombineres med evnen til at aflytte GPRS-kommunikation, er det det teoretisk muligt at opsnappe og dekryptere al mobilnetværkstrafik, der bruger GEA-1 algoritme med lethed. Matthew Green bemærker også, at TLS ikke blev brugt af de fleste websteder på det tidspunkt, og at alle, der brugte internettet, var afhængige af disse algoritmer for at beskytte deres kommunikation.
Bundkort kontaktede European Telecommunications Standard Institute (ETSI), den organisation, der har designet algoritmen. De indrømmede, at algoritmen indeholdt en svaghed, men sagde, at den blev indført, fordi eksportreglerne på det tidspunkt ikke tillod stærkere kryptering. "Vi fulgte regler: vi fulgte eksportkontrolregler, der begrænsede styrken af GEA-1." Håvard Raddum, en forsker på papiret, udtalte til Bundkort at "For at opfylde politiske krav var millioner af brugere tilsyneladende dårligt beskyttet, mens de surfede i årevis." Lukasz Olejnik, en uafhængig cybersikkerhedsforsker og konsulent, der har en Ph.D. fra INRIA, også fortalt Bundkort at "denne tekniske analyse er sund, og konklusionerne med hensyn til den bevidste svækkelse af algoritmen er ret alvorlige."
De pågældende eksportregler er sandsynligvis franske dekreter 98-206 og 98-207. Dekreterne, der blev annonceret i 1998 (året GEA-1 blev designet), fastslog, at midler og tjenester inden for kryptologi, hvor "udtømmende søgning af alle mulige nøgler kræver ikke mere end 2 40 forsøg med en simpel test” er undtaget fra autorisation eller erklæring til brug og importere.
Med GEA-2 var tingene anderledes, og ETSI fortalte det Bundkort at eksportkontrollen var blevet lempet på tidspunktet for GEA-2's design. Forskerne var stadig i stand til at dekryptere GEA-2-trafik, og de sagde, at chifferen "ikke tilbyder fuld 64-bit sikkerhed". Mens angrebet var sværere "at anvende i praksis", anbefaler forskerne, at kun GEA-3 og højere implementeres fra nu af. Mange enheder udgivet selv i de senere år bruger stadig GEA-1 og GEA-2 som reserver, selvom ETSI forhindret netværksoperatører fra at bruge GEA-1 i deres mobilnetværk i 2013.
Det originale papir kan læses her.