Attól függ, miről beszélünk.
A Debian telepítésnél ugye az apt ellenőrzi a csomagok digitális aláírását, az aláíráshoz használt kulcsok pedig a laptopomra telepítve vannak. Időnként van keyring update, de elég ritka. Nem szoktam utánanézni, hogy miért változott.
Ha letöltök valahonnan egy programot / csomagot, akkor jellemzően a weboldalukon van kint a hash, és valami fájl szerverről töltöm le a csomagot. Ha a weboldalon valaki esetleg átírja a hash-t, akkor erről nem fogok tudni.
De persze most légyszi ne gyertek azzal, hogy hát ez így nem biztonságos, mert én magánemberként a magán laptopomra nem követelem meg azt a biztonságot, amit mondjuk egy államtitkokat kezelő cég egy kritikus hálózati infrastrúktúra védelmi megoldástól meg kell, hogy követeljen.
Szerintem kb. a Debian megoldása lehetne esetleg a követendő példa, csak egy kicsit biztonságosabban: legyen egy aláíró kulcs, amit mondjuk több jelszóval lehet aláírásra rávenni a fejlesztő cégnél, az összes kliensnek adják oda pendrive-on, az aláíró kulcs publikus részét, és mellé papíron a kulcs ujjlenyomatát. A kliensnél lévő kulcsot ne frissítse automatikusan a rendszer, ne kerüljenek a keyringre új kulcsok, stb.
Telepítéskor vagy csomag letöltéskor meg legyen automatikus ellenőrzés, plusz ha valahol olyan az igény, akkor legyen lehetőség kézi ellenőrzésre is telepítés előtt.
Ez viszonylag könnyen megoldható. Ha meg a KGB már a fejlesztő cég 3 kulcs pozícióban lévő emberét megzsarolta / megvette, és azok együttműködnek velük, akkor már úgyis mindegy, ott már nem a hekkerek fogják beletenni a hátsó bejáratot a kódba :-)