Nagyon jó leírás. Én nem használok debian alapú rendszert, de a debfoster után elkezdett csorogni a nyálam. Valami ilyesmit vizionáltam pacman-re, nem tudom, van-e ilyen, de nekem kell egy ilyen. :)
Egy apró megjegyzés: a gpg nem felesleges, biztonsági szempontból szükség van rá. Nézd csak meg, hogy járt a Fedora. Feltörték a szerverüket, és felpakoltak néhány csomagot. Igaz, ebben az esetben az aláírás is sikerült (ha jól értelmezem a storyt), de akkor is alaposan megnehezítette a cracker dolgát az aláírás létrehozásának szükségessége. Lehet, hogy ha nem kell aláírni a csomagot, soha nem derül ki, hogy valaki módosított néhány csomagon.
Ha a történet úgy módosul, hogy valaki feltörte a szervert és felrakott néhány saját, aláíratlan csomagot (pl. mivel nem találta meg a kulcsot), akkor a kliensek gépeire nem települ fel a hibás csomag, és nem kell kiadni közleményben, hogy nem szabad frissíteni néhány napig a Fedora rendszereket.