De acordo com a documentação do Fedora :
All Fedora packages are signed with the Fedora GPG key. GPG stands for GNU Privacy Guard, or GnuPG, a free software package used for ensuring the authenticity of distributed files. For example, a private key (secret key) locks the package while the public key unlocks and verifies the package. If the public key distributed by Fedora does not match the private key during RPM verification, the package may have been altered and therefore cannot be trusted.
The RPM utility within Fedora automatically tries to verify the GPG signature of an RPM package before installing it. If the Fedora GPG key is not installed, install it from a secure, static location, such as an Fedora installation CD-ROM or DVD.
Além disso, de acordo com a Documentação da Yum :
Yum provides secure package management by enabling GPG (Gnu Privacy Guard; also known as GnuPG) signature verification on GPG-signed packages to be turned on for all package repositories (i.e. package sources), or for individual repositories. When signature verification is enabled, Yum will refuse to install any packages not GPG-signed with the correct key for that repository. This means that you can trust that the RPM packages you download and install on your system are from a trusted source, such as The Fedora Project, and were not modified during transfer.
Em um sistema Fedora 14 recém-instalado, o /etc/yum.conf
inclui
gpgcheck=1
Indicando que esse recurso do yum está habilitado por padrão.
Assim, parece que as respostas para (1) e (3) são "sim". Eu acredito que a resposta para (2) é mais complicada.
O DVD e o Live CD têm a capacidade de verificar o disco inteiro. Se você está preocupado com a integridade da sua mídia de instalação, você pode usar esta funcionalidade embutida (veja a documentação ). Se você está mais preocupado com a segurança, você pode querer verificar o ISO antes de gravar, usando o método fornecido aqui:
link
(Veja esta pergunta para obter dicas sobre como obter soma de verificação para o CD já gravado.)
ATUALIZADO : Se você instalar usando o Live CD, acredito que a imagem ao vivo está sendo copiada diretamente para o seu disco, portanto os pacotes não estão sendo instalados pelo gerenciador de pacotes e suas assinaturas não são não está sendo verificado. Se você instalar usando uma instalação em rede ou o DVD completo, as assinaturas GPG ainda não serão verificadas. Veja a resposta de mattdm.