Sim: ele faz o download de checksums assinados do mesmo repositório que o pacote, verifica se a assinatura corresponde a uma chave aceita e finalmente verifica a soma de verificação do arquivo .deb.
A GUI chama apt
em segundo plano e, na verdade, faz o mesmo.