Ziņojumā ir konstatēts, ka agrīnie mobilo sakaru tīkli 1990. un 2000. gados tika apzināti slēgti, ko apstiprināja ETSI.
Pētnieki no vairākām universitātēm Francijā, Vācijā un Norvēģijā ir secinājuši, ka šifrēšanas algoritms GEA-1, ko izmantoja agrīnajos mobilo datu tīklos 1990. un 2000. gados, tika apzināti aizmugures durvis ieviests. GPRS ir mobilo datu standarts, kura pamatā ir 2G tehnoloģija, un daudzas valstis un tīkla pakalpojumu sniedzēji to joprojām izmanto kā rezerves mobilo datu, SMS un tālruņa zvanu rezerves daļu. Starp tālruni un bāzes staciju tiek izmantota GEA-1 šifrēšana, taču ir konstatēts, ka tā ir apzināti vājināta. Tika konstatēts, ka GEA-2, kas ir GEA-1 pēctecis, ir zemāka aizsardzība, lai gan netika atrasti pierādījumi par apzinātu aizmugures durvīm.
Lai gan GEA-1 vai GEA-2 ir patentēti šifrēšanas algoritmi, pētnieki tos ieguva no "avota, kas dod priekšroku palikt anonīmam". Saskaņā ar ziņojumā, pastāv liela statistiskā iespējamība, ka GEA-1 algoritms ir ievērojami vājināts un faktiski nebija 64 bitu drošs, reklamēts. Tā vietā tas nodrošināja tikai 40 bitu drošību; 40 bitu šifrēšana nodrošina ļoti vāju drošību kā datoru tīkls
Mēģinot mainīt gan GEA-1, gan GEA-2, pētnieki atklāja, ka GEA-1 algoritma atjaunošana bija daudz drošāka nekā sākotnēji ieviestais algoritms. Pētnieki secināja, ka tas nebija nejaušība un ka tas bija apzināts projektēšanas lēmums, ko pieņēmuši tie, kuri sākotnēji bija izstrādājuši GEA-1 algoritmu mobilajiem tīkliem. Rakstā teikts, ka "konkrēti, miljonā mēģinājumu laikā mēs pat ne tuvu neesam tikuši pie tik vājas instances". Šajā gadījumā, ja to apvieno ar iespēju noklausīties GPRS sakarus, tas tā ir teorētiski ir iespējams pārtvert un atšifrēt visu mobilā tīkla trafiku, kas izmanto GEA-1 algoritmu ar vieglumu. Metjū Grīns arī atzīmē, ka TLS tajā laikā neizmantoja lielākā daļa vietņu un ka ikviens, kas izmanto internetu, paļāvās uz šiem algoritmiem, lai aizsargātu savus sakarus.
Mātesplate sazinājās ar Eiropas Telekomunikāciju standartu institūtu (ETSI), organizāciju, kas izstrādāja algoritmu. Viņi atzina, ka algoritms saturēja nepilnības, taču teica, ka tas tika ieviests, jo tā laika eksporta noteikumi nepieļāva spēcīgāku šifrēšanu. "Mēs ievērojām noteikumus: mēs ievērojām eksporta kontroles noteikumus, kas ierobežoja GEA-1 spēku." Papīra pētnieks Håvards Raddums apgalvoja Mātesplate ka "Lai izpildītu politiskās prasības, miljoniem lietotāju acīmredzot bija slikti aizsargāti, sērfojot gadiem ilgi." Lukašs Olejniks, neatkarīgs kiberdrošības pētnieks un konsultants, kuram ir datorzinātņu doktora grāds. no INRIA, arī stāstīja Mātesplate ka "Šī tehniskā analīze ir pamatota, un secinājumi par tīšu algoritma vājināšanu ir diezgan nopietni."
Attiecīgie eksporta noteikumi, visticamāk, ir Francijas dekrēti 98-206 un 98-207. Izsludinātie 1998. gadā (GEA-1 izstrādes gadā), dekrēti noteica, ka kriptoloģijas līdzekļi un pakalpojumi, kuros “tiek veikta pilnīga visām iespējamām atslēgām nav nepieciešami vairāk kā 2 40 izmēģinājumi ar vienkāršu testu” ir atbrīvoti no autorizācijas vai lietošanas deklarācijas un imports.
Ar GEA-2 lietas bija savādākas, un ETSI teica Mātesplate ka eksporta kontrole tika atvieglota GEA-2 projektēšanas laikā. Pētnieki joprojām varēja atšifrēt GEA-2 trafiku, un viņi teica, ka šifrs "nepiedāvā pilnīgu 64 bitu drošību". Lai gan uzbrukumu bija grūtāk "piemērot praksē", pētnieki iesaka no šī brīža ieviest tikai GEA-3 un jaunākas versijas. Daudzas ierīces, kas izlaistas pat pēdējos gados, joprojām izmanto GEA-1 un GEA-2 kā rezerves, lai gan ETSI novērsta tīkla operatori no GEA-1 izmantošanas savos mobilajos tīklos 2013. gadā.
Papīra oriģinālu var izlasīt šeit.