ubuntu 14.04 で、/etc/apt/sources.list を見ていました。
その内容を一部抜粋すると、

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://archive.ubuntu.com/ubuntu trusty main
deb-src http://archive.ubuntu.com/ubuntu trusty main

## Major bug fix updates produced after the final release of the
## distribution.
deb http://archive.ubuntu.com/ubuntu trusty-updates main
deb-src http://archive.ubuntu.com/ubuntu trusty-updates main

のような記述が続いています。

これらの、 apt のレポジトリの指定は、ほとんど http で行われています。 http 通信は、 MitM 攻撃の対象になりえるので、何かしらのチェック機構がないとこれは危険だと考えています。

apt のソースレポジトリに対して取得されるパッケージの、正当性を検証する仕組みはどのように実現されていますか?