O andOPT você pode rodá-lo offline se quiser, ele não precisa ficar conectado na internet, então se quiser ser hardcore e minimizar os riscos, imaginando que você é um grande alvo, acho que pode baixar o app e rodar ele offline. Mas eu não teria essa preocupação se usasse um 2FA FOSS, só me preocuparia se estivesse usando o Authy ou outro centralizado como Google Autenticador, etc.
Se o governo conseguir com que a Protonmail entregue seus dados, você ainda sim, pode estar a salvo se tiver usado para acesso pelo TOR.
Quanto à questão 2, não necessariamente, pois o PROTON Mail gera um código para o autenticador, mas o autenticador não tem como saber qual serviço ele é, ele só fica sabendo, pois você digita ou então o nome vem no QR CODE de cadastro. Você poderia pegar a chave de cadastro do OTP do PM e colocar um nome qualquer que não identifique que é do PROTONMAIL, por exemplo. Eu sempre faço isso, nunca nomeio meus 2FAs com o nome certo para dificultar ainda mais.
Se preocupar com o OTP é o menor dos problemas, por ser muito difícil o governo chegar nele. É mais fácil a PM desativar o seu segundo fator de autenticação a mando da máfia, do que o governo tentar chegar no seu 2FA. Só se você for um alvo muito grande do serviço de inteligência e eles tentem te hackear sem o auxílio da Proton, por exemplo.
Você pode usar o app da Yubikey para gerar os códigos usando a autenticação pelo dispositivo físico + senha no app, isso aumenta a segurança, pois seriam muitas barreiras para se quebrar.
___
O que eu faria se fosse você:
1 – Criaria uma conta no Protonmail usando o TOR;
2 - Não vincularia nenhum celular na conta;
3 - Usaria uma Yubikey ou app de OTP FOSS;
4 - Só acessaria esse e-mail pela rede TOR, jamais fora dela;
5 - Usaria só e-mails temporários para não deixar rastro (por mais que seja criptografado), pois isso diminuiria meu risco caso alguma agência de inteligência descobrisse minha senha e OTP, nunca se sabe;
Dependendo do que for fazer, se for muito secreto, pode também criptografar o texto dos e-mails em serviços externos que só você e a outra parte que se comunica tem a chave para descriptografar.
Muita coisa a gente acaba guardando desnecessariamente, o que aumenta nossa exposição ao risco. Se me permite, gostaria de indicar um ótimo vídeo da Naomi que fala dessa questão de usar mensagens e e-mails que desaparecem, o canal dela é muito bom: https://odysee.com/@NaomiBrockwell:4/disappearing-messages:5