Предоставить загрузочный репозиторий с подписанными DEB-пакетами?

Я предоставляю собственный загрузочный репозиторий для DEB-пакетов Ubuntu. Он поставляется со структурой каталогов в стиле https://mydomain.tld/download/Ubuntu/dists/bionic/main/binary-amd64/

Каталог содержит DEB-архивы, а также Packages.gz, который создается путем вызова

dpkg-scanpackages dists/bionic/main/binary-amd64/ /dev/null|gzip -9c >dists/bionic/main/binary-amd64/Packages.gz

Все пакеты сами подписаны

dpkg-sig --sign builder mypackage.deb

Подписание и создание Packages.gz работает правильно. Тем не менее, пакеты не являются действительно безопасными и проверенными, связь между подписью в DEB-пакете и загрузкой отсутствует.

Поэтому мой вопрос: что мне нужно сделать (на стороне сервера?), Чтобы не только подписать упакованные пакеты, но и дать пользователям, которые устанавливают пакеты с помощью "apt-get" или "synapic", подтверждение того, что пакеты являются оригинальными и не изменены третий участник?

Спасибо!