Akkor csak az aláírást külső adathordozón tárolnám. Vagy sűrűn végezné az aláírást? Mert archívról volt szó. Tehát ha havonta vagy fél évente egyszer történik, akkor a manuális megoldás megbízható.
Ha teljesen automatikusan kell, akkor meg csak küldje el szerintem a sózott hash sum-okat mailben egy külső címre időszakonként. (Vagy a hash lista hash-ét csak, a listát meg tárolja helyileg.)
De egyébként ha a root-ot nem megbízhatónak vesszük, akkor már eleve ennél több problémát látok.