O Debian (antecedente do Ubuntu) já introduziu SecureApt ou apt-secure e o Ubuntu implementa isso. Tanto quanto eu entendo, este SecureApt é uma maneira de garantir a integridade do pacote usando a verificação md5sum.
Quando apt-get update é executado, um arquivo chamado packages.gz que contém md5sum hashes de pacotes no repositório é baixado (com segurança ??) e, ao instalar um pacote do repositório, o pacote baixado é md5sum verificado em relação ao packages.gz md5sum e instalado apenas se corresponder.
Isso não explica como as atualizações de pacotes que não podem ser conhecidas no momento da instalação do sistema ou da transmissão do arquivo "package.gz" serão verificadas, no entanto.
Atualizar
Encontrei mais algumas informações aqui na página de ajuda do Ubuntu no SecureApt :
Sobre o processo atualizado e suas implicações de segurança / segurança:
- Existe um arquivo de lançamento que contém o md5sums de pacotes (talvez este arquivo seja ou contenha os pacotes.gz mencionados anteriormente).
- Este arquivo de lançamento é transmitido com segurança usando a assinatura de chave gpg.
- O arquivo de lançamento é atualizado sempre que os pacotes são atualizados. Isso explica como as atualizações serão possíveis com segurança. (1. arquivo de liberação gpg assinado transmitido com md5hashes de pacotes, 2. (atualização) pacotes transmitidos e verificados com os md5sums confiáveis do arquivo em questão)