SSH es un ejemplo de TOFU (Confianza en el primer uso) que no requiere que una CA (o incluso un tercero) participe en el establecimiento de una relación de confianza.
La mayoría de las claves precompartidas (por ejemplo, como se usan para WPA en wifi o en una solución VPN) pueden brindar cierta protección contra ataques MitM si se usan correctamente y sin necesidad de establecer confianza a través de una CA (o PKI), y sin la necesidad de involucrar tokens criptográficos.
Considere también que MitM puede ser facilitado por una CA (por ejemplo, cuando una CA debe emitir certificados sin llevar a cabo los controles necesarios para validar la identidad, debido a un compromiso, presión legal o malicia), y el uso de una PKI no ofrece necesariamente protección contra MitM; simplemente establece que un token dado (una clave) se considera razonablemente para representar una reclamación (de identidad), y las malas opciones de criptografía podrían, por ejemplo, anular cualquiera y todas las reclamaciones / aserciones.
Actualizado :
Como se señala en @ Steffen Ullrich en los comentarios a continuación, TOFU es susceptible a MitM durante el primera conexion Esto podría mitigarse (por ejemplo, proporcionando algún mecanismo para validar las claves de host que se presentan).
Después de esa primera conexión, estás a salvo de MitM o totalmente expuesto.
Tenía la intención de señalar a TOFU como un enfoque diferente para establecer la confianza (dejar que los usuarios lo descubran, básicamente), pero Steffen tiene toda la razón de que TOFU y PKI adopten un enfoque fundamentalmente diferente para validar la identidad inicialmente, con la creación de TOFU una decisión de diseño para no abordar el riesgo de MitM durante la primera conexión, por lo que los dos modelos de confianza tienen un impacto diferente en la capacidad de protegerse contra MitM.
Dado que la pregunta era acerca de por qué mucha literatura MitM menciona la PKI, esta es una respuesta parcial: de los enfoques más comunes para la protección contra MitM, una solución basada en PKI proporciona más protección que otros enfoques como TOFU.