Wie sich das mit dem im SOC verbauten Key verhält, steht doch in der KLAD-SPEC. Dazu kommt noch der Vendor Key, und schon ist das Rätsel gelöst.
Nur mal so ne Anekdote: ich habe vor Jahren mal 50 OTP-Token (Schlüsselanhänger) bei nem Händler gekauft. Systemfrei (TOTP) Dabei war eine Liste mit Seriennummern (die standen hinten auf den Dingern drauf, mit Barcode) und dazugehörigen Seed Vektoren für das OTP. In unserer Anwendung musste man dann nur noch die Seriennummer eingeben und konnte das Token dann zum Login verwenden. Den dazugehörigen Key hat unser System aus einer internen Datenbank geholt. Der Rest ist öffentlich standarisiert.
Das wird bei Set Top Boxen nicht anders gemacht, nur daß der Vendor Key noch mit reinspielt ;-)