Att det är ett annat ca-id innebär ju (för klienten iaf) att det är ett helt separat ca-system, med en annan uppsättning ecms i streamen på ett eget ca-pid vid sidan om det gamla. Att samma implementationer sen verkar fungera på serversidan indikerar ju att det i grunden är samma system, men med någon enklare extra obfuskering som gör det inkompatibelt med äldre versioner (avsiktligt).

Utan att ha tittat närmare på loggarna så finns det väl följande alternativ:
- Dummy cws, vissa svar från korten är decoys (klienten behöver kunna känna igen och ignorera dessa).
- Omkastad ordning (alla cws är äkta men klienten ska inte använda dom i den ordning dom kommer från korten).
- Post-processing av cws på klientsidan.
- Kombinationer av ovanstående.