>> Подлинность ключа цифровой подписи не гарантируется ни кем.
> Гарантируется. Только вот верить третьей стороне или нет, каждый решает сам.Нед. Подпись - лишь хеш, расшифрованный закрытым ключем. Сертификат - это когда ключик (ну и прочий мусор), использованный для формирования подписи, подписан удостоверяющим центром. Т.о. возможно построение иерархии.
> Да, само-выданный ключик где-то эквивалентен само-собранным контрольным суммам.
Забавно смотрятся доморощенные репозитарии, для "надежной" установки из которых требуется предварительно скачать от-туда же и ключик. Хаксору, понятное дело, ничего не мешает положить рядом с распространяемым ПО и свой ключ.