A assinatura do repositório ajuda os usuários a saber "sim, o repositório do qual estou fazendo o download de pacotes é um em que confio". Se você disser para ignorar essa verificação, você precisa se preocupar:
- Intoxicação de DNS (quando eles acessam o yourserver.com eles estão realmente recebendo o endereço correto?)
- MITM (quando eles tentam acertar o repositório no ip 1.2.3.4, eles estão recebendo o servidor que deveriam estar recebendo)
- entradas não autorizadas em sources.list (de alguma forma, eu consegui colocar deb link foo / "em seu sources.list e agora você instala pacotes de evilserver.xxx em que você não deve confiar)
Se um dos dois primeiros problemas puder ser um problema (o que não é provável em um ambiente controlado), você ainda terá o problema de ataques de repetição, mesmo com um repositório assinado. (você implementa uma atualização de segurança para corrigir uma vulnerabilidade, faço com que o usuário olhe para o meu repositório em vez do seu, para que o usuário nunca obtenha o patch, eu exploro a vulnerabilidade).
Em uma rede controlada, eu não me preocuparia muito com isso. Dito isto, se você já tem a infra-estrutura existente para ter repositórios assinados, executar o debsign não parece muito complicado.