"Nem kell helyettesíteni az összes okmányt"
NEKED nincs erre szükséged, de más meg szeretné azt, hogy minden ilyen kártya/cetli helyett együtt legyen meg minden információ. Onnantól kezdve, hogy nem használsz okostelefont, számodra irreleváns, hogy mit tud és mit nyújt a DÁP.
"Egyrészt, a challenge-response csak akkor követelmény, ha egy (pl. TOTP) pre-shared secret bizotnságát nem tudjuk garantálni, márpedig sok esetben tudjuk. Másrészt, a challenge-response működés nem indokolja az Android 10 rendszerkövetleményt. "
Az üfk+ esetén követelmény, nem véletlenül. És az Android 10 sem véletlen. Az okokat majd akkor ismerheted talán meg, ha felvesznek a DÁP illetve az üfk+ architect/developer csapatba. Bár a tényleges szakmai ismereteid alapján erre nem látok túl sok esélyt...
"elkapkodja a credential store rendszerhívásokat, és ő is megkapja a privát kulcsokat, mikor bekerülnek a TPM-be (DÁP regisztráció pillanatában)"
A privát kulcs szerinted hol készül? Na ha erre tudnád a választ, akkor rájönnél, mekkora baromságot kérdeztél...
"Mennyiből állt volna egy kulcstartó/bankkártya méretű, CR2032 elemmel működő 6 számszegmenses LCD kijelzővel rendelkező, TOTP-kódgenerátort összerakni,"
Mennyibe kerülne ezeket legyártatni megfelelő (okmányra vonatkozó elvárásoknak megfelelő!) biztonságos körülmények között, illetve amint írtam már korábban, ez mennyiben felelne meg a DÁP funkcionalitásának? (Minimálisan... sem) Oké, én Yubikey Bio-t említettem... (A "6 számszegmenses" mit jelent? Vagy a hat jegyű hét szegmenses kijelzőt sikerült idegességedben így rövidíteni???)
Ja, ilyen TOTP eszköz létezik/létezett (CryptoCard RB1), nekem is volt a munkám miatt - utáltuk is rendesen...