На лисаче убеждают, что подписывать код не нужно, потому что есть https:
%Вот поставил я этот ваш OMEMO в gajim, из пакетов в дебиане (gajim-omemo), а версия там пиздец старая, даже в последнем дебиане, думаю дайка я соберу из сорцов последнию версию, полез на сайт gajim, а там ни хешей на тарболах, ни
подписей для релизных тарболов, и гит коммиты не подписынны, и гит теги релизные не подписанны, как такой помойкой может пользоватся крипто-анон-анархист, что это за парашу, уровня телеграм, вы мне советуете???/%
Хеши не не нужны. Хееши вообще используют не для подписей, а для валидации образов при записи на сиди дисках. Ну или для проверки валидности файла при скачивании на небезопасных соедениях, таких как торентах. HTTPS тут Вася.
Майор может подменить есть ftp, http и нет подписи и не может если есть https и нет подписи.
В дебиан репах подписи к пакетам придумал не для маня защиты, а потому что долгое время не было https от слова никак. Ну и заодно что бы хешь суммы не считать в случае ошибки передачи.