Bei Debian/Ubuntu sind alle Pakete signiert durch einen
Entwickler-Schlüssel. Dieser Schlüssel ist von einem Master-Schlüssel
signiert, den du mit dem Installationsmedium bekommst. Wenn das
Installationsmedium nicht manipuliert ist, kannst du davon ausgehen,
dass alles, was du jemals mit apt-get installierst, auf GPG-Niveau
abgesichert ist.
Es kann dir nicht passieren, dass du aus Versehen unsignierte Pakete
installierst, da dir das System das verweigert, wenn du das nicht
explizit forcierst.
Die Security-Updates kommen von zentralen Servern und nicht wie das
übrige Repository von beliebigen Mirrors, damit keine Updates
zurückgehalten werden können. Der Index der aktuellen Pakete wird
natürlich gesichert übertragen, für die Pakete selbst ist das jedoch
nicht notwendig.
Wie das bei RPM ist, weiß ich nicht genau, aber es sollte ähnlich
sein.
Entwickler-Schlüssel. Dieser Schlüssel ist von einem Master-Schlüssel
signiert, den du mit dem Installationsmedium bekommst. Wenn das
Installationsmedium nicht manipuliert ist, kannst du davon ausgehen,
dass alles, was du jemals mit apt-get installierst, auf GPG-Niveau
abgesichert ist.
Es kann dir nicht passieren, dass du aus Versehen unsignierte Pakete
installierst, da dir das System das verweigert, wenn du das nicht
explizit forcierst.
Die Security-Updates kommen von zentralen Servern und nicht wie das
übrige Repository von beliebigen Mirrors, damit keine Updates
zurückgehalten werden können. Der Index der aktuellen Pakete wird
natürlich gesichert übertragen, für die Pakete selbst ist das jedoch
nicht notwendig.
Wie das bei RPM ist, weiß ich nicht genau, aber es sollte ähnlich
sein.