Создатель PGP занялся безопасностью итернет-телефонии

Что это даст? Если Мэллори способен синтезировать голоса обоих собеседников, он прочитает каждому из них тот отпечаток ключа, который данный абонент должен видеть.

Это только в случае если Мэлори обладает всеми знаниями, общими для собеседников и не менее, чем они, сообразителен. Надо стараться выбирать косвенные описания из сведений, неизвестных Мэлори, но известных обоим участникам. Не всякий Мэлори знает, с кем мы гуляли на прошлой неделе. :) Также полезен всякого рода "семейный" сленг. Если же для идентификации "другая" сторона вдруг начнёт сообщать только общеизвестные факты да ещё на языке официальной прессы, это повод для недоверия и дальнейших перепроверок. Вообще, это типа теста Тьюринга, только задача различить двух людей. Также, чем дольше пауза, тем больше подозрений.
Вообще, в течении разговора полезно регулярно в неожиданных местах обмениваться высказываниями по поводу отпечатков сеансовых ключей, причем чтобы по началу этих высказываний было трудно понять, что закончаться они указанием на отпечаток.
Неплохо если отпечаток преобразовывать в осмысленное слово (по номеру в словаре, например) или словосочетание – в этом случае можно задействовать широкий спектр смысловых ассоциаций, вряд ли поддающийся незаметной подмене в реальном времени человеком посредине. :)

Будет полезна и цветовая (и шире – графическая) идентификация отпечатков – как тут, на форуме. "В траве сидел кузнечик, совсем как огуречик, совсем как отпечаток, зелёненький он был" :))

Вся эта морока с попыткой перехитрить Мэллори кажется называется culture shared secrets или что-то в таком духе. Члены группы узнают своих, рыбак рыбака видит издалека, знакомые узнают друг друга по опыту предыдущего общения и т.д.

Но проблема в том, что это метод неформализуемый, а в современных универсальных системах стараются придумать формализованную безопасность чтобы можно было работать на автомате, чтобы не нужно было каждый раз выкручиваться, что-то выдумывать и проявлять изобретательность. Может нужно связаться клеркам компании, которые видели друг друга один раз и с трудом могут вспомнить голос покакой-нибудь видеопрезентации. И они что-ли будут выдумывать вопросы типа: "скажи за пять секунд какого цвета было платье у секретарши, которую мы встретили и на каком этаже офиса это произошло?". Нужен формальный стандарт установления связи.

По поводу отпечатков и сертификатов – смотрите как был устроен совместно выпускаемый NSA и AT&T ещё в начале восьмидесятых телефон STU-III.

Схема с цветами и с голосом ближе к отпечаткам, так как не требует изобретать что-то заново для каждого сеанса аутентификации.

работать на автомате, чтобы не нужно было каждый раз проявлять изобретательность.

Каждый раз и не нужно, а только в случае появления (и выявления) "посредника". Если не проявить изобретательность, посредник сможет повторить "автомат" в следующем сеансе связи. Мне кажется, что против "чего-то посередине" без изобретательности вряд ли можно обойтись.

Чувство соразмерности есть? Затраты на проведение атаки с повторной голосовой подменой против конкретного лица, при отсутствии автоматизированного решения будет стоить не дёшево, и не гарантированно получится провести. Оно окупится? Безопасность – это прежде всего экономика. Изобретательность соотносится с базовыми схемами безопасности точно так же как security via obscurity (безопасность через неясность). У этой штуки есть своя роль, она может повысить безопасность в некоторых случаях, это уже обсуждалось на форуме.