Oleh karena itu, Murgatroyd mencatat bahwa pembeli radio berbasis TETRA bebas menggunakan solusi lain untuk enkripsi end-to-end pada perangkat mereka. Namun, dia mengakui bahwa solusi yang diproduksi oleh TCCA dan disetujui oleh ETSI “sejauh yang kami tahu, banyak digunakan.”
Meskipun perangkat radio TETRA tidak dipakai oleh polisi dan militer di AS, mayoritas kepolisian di seluruh dunia menggunakannya. Termasuk kepolisian di Belgia dan negara-negara Skandinavia, serta negara Eropa Timur seperti Serbia, Moldova, Bulgaria, dan Makedonia, juga di Timur Tengah seperti Iran, Irak, Lebanon, dan Suriah. Kementerian Pertahanan Bulgaria, Kazakhstan, dan Suriah juga memakainya, begitu pula agen kontraintelijen militer Polandia, angkatan pertahanan Finlandia, serta dinas intelijen Lebanon dan Arab Saudi. Namun, tidak jelas berapa banyak dari mereka yang juga menggunakan dekripsi end-to-end di radio mereka.
Standar TETRA mencakup empat algoritma enkripsi—TEA1, TEA2, TEA3, dan TEA4—yang bisa dipakai produsen radio dalam produk berbeda, tergantung pelanggan dan penggunaannya. Tiap algoritma punya tingkat keamanan berlainan, berdasarkan apakah radio akan dijual di dalam atau luar Eropa. Contohnya, TEA2 dibatasi untuk radio kepolisian, layanan darurat, militer, dan agen intelijen di Eropa. TEA3 tersedia untuk radio polisi dan layanan darurat di luar Eropa, tapi hanya di negara yang dianggap “bersahabat” dengan Uni Eropa. Hanya TEA1 yang tersedia untuk agen keselamatan publik, kepolisian, dan militer di negara yang tidak bersahabat, seperti Iran. Namun, TEA1 juga dipakai di infrastruktur penting di AS dan negara lain untuk komunikasi mesin-ke-mesin di sistem kontrol industri seperti pipa, kereta api, dan jaringan listrik.
Keempat algoritma enkripsi TETRA menggunakan kunci 80-bit untuk mengamankan komunikasi. Tapi peneliti Belanda mengungkap pada tahun 2023 bahwa TEA1 memiliki kelemahan yang membuat kuncinya turun jadi hanya 32-bit, memungkinkan mereka membobolnya dalam waktu kurang dari semenit.
Dalam kasus E2EE, peneliti menemukan bahwa implementasi yang mereka teliti diawali dengan kunci lebih aman daripada yang dipakai di algoritma TETRA, tapi kemudian turun jadi 56-bit, yang berpotensi memungkinkan seseorang mendekripsi komunikasi suara dan data. Mereka juga menemukan kerentanan kedua yang memungkinkan seseorang mengirim pesan palsu atau mengulang pesan valid untuk menyebar misinformasi atau kebingungan di antara pengguna radio.
Kemampuan menyuntikkan lalu lintas suara dan memutar ulang pesan memengaruhi semua pengguna skema enkripsi end-to-end TCCA, menurut peneliti. Mereka menyebut ini akibat cacat dalam desain protokol E2EE TCCA, bukan kesalahan implementasi tertentu. Mereka juga menyatakan bahwa “pengguna akhir penegak hukum” telah mengkonfirmasi bahwa kelemahan ini ada di radio produksi vendor selain Sepura.
Tapi peneliti menyebut hanya sebagian pengguna enkripsi end-to-end yang mungkin terdampak kerentanan kunci yang melemah, karena bergantung pada cara enkripsi diimplementasikan di radio yang dijual ke berbagai negara.