Подписание репозитория помогает пользователям знать "да, репозиторий, с которого я загружаю пакеты, является тем, которому я доверяю". Если бы Вы говорите им игнорировать эту проверку, необходимо было бы волноваться о:
Если любой из первых двух может быть проблемой (который маловероятен в управляемой среде), то у Вас все еще была бы проблема атак с повторением пакетов даже с repositry со знаком. (Вы развертываете обновление безопасности для исправления уязвимости, я заставляю пользователя смотреть на мой репозиторий вместо Вашего, таким образом, пользователь никогда не получает патч, я добираюсь для использования уязвимости).
В управляемой сети я действительно не волновался бы о большой части этого. Однако при наличии infastructure уже для подписывания репозиториев, работание debsign не звучит слишком сложным.