O apt-get atualiza arquivos deb no checksum?
Se sim, então onde exatamente verifica? Depois de baixar um arquivo deb ou ao instalá-lo? Faz o download da soma de verificação do repositório ou é a soma de verificação incorporada no próprio arquivo deb? O GUI atualizado por software se comporta como o apt-get?
Sim: ele faz o download de checksums assinados do mesmo repositório que o pacote, verifica se a assinatura corresponde a uma chave aceita e finalmente verifica a soma de verificação do arquivo .deb.
A GUI chama apt em segundo plano e, na verdade, faz o mesmo.