Ok, até onde eu pesquisei, para instalar software de um repositório, uma chave de identificação é usada para assinar um arquivo (não criptografá-lo). Obtemos a chave pública e o mantenedor do repositório tem a chave privada. A chave privada é usada para assinar um arquivo e a chave pública é usada para validar a autenticidade deles.
Portanto, precisamos registrar o repo e a chave pública em nosso sistema.
Mas há alguns casos em que você acabou de registrar o repositório sem a necessidade de uma chave pública e pode baixar os pacotes desses repositórios.
Bem, é isso que eu entendi até agora.
Por exemplo: Para instalar o MSSQL, você precisa registrar o repositório, bem como a chave pública. Mas com o NodeJS você acabou de registrar o repositório.
Então, qual é a diferença entre usar ou não usar uma chave? Eu sei que é para ter certeza de que estou recebendo o pacote de onde eu acho que estou conseguindo, mas como o sistema valida os pacotes vindos daqueles repositórios registrados com as chaves registradas em nosso sistema?
Basicamente, qual é o fluxo de trabalho? É o que estou tentando entender.