O dpkg não pretende usar criptografia, então você precisa de uma ferramenta externa.
Pergunta principal - onde a chave de descriptografia é armazenada e como é usada.
Deve ser pelo menos já armazenado na máquina do cliente e usado automaticamente pelo "firmware".
"firmware" deve saber como se atualizar a partir do arquivo criptografado.
UPD 1
No aspecto da segurança, o GPG e o OpenSSL parecem quase iguais, mas usam principalmente formatos e certificados incompatíveis. Como dizemos security.stackexchange
Sobre a criptografia "manual". Deve ser bom incluir criptografia de pacote no processo de criação automatizado.