Sous GNU/Linux, c'est simple, si tu veux utiliser un dépôt tiers, à toi d'importer la clé publique GPG du dépôt. Les dépôts bien sécurisés distribuent cette clé par HTTPS, donc tu peux être sûr que la clé vient du dépôt. Quant à l'automatisation, il y a 2 manières:

• si le dépôt propose un paquetage *-release, ce paquetage peut contenir la clé GPG,
• le fichier *.repo qui configure le dépôt peut le référencer directement avec gpgkey=https://….

L'utilisateur est normalement demandé s'il veut vraiment importer la clé (sauf si le paquetage appelle un rpm --import dans les scriptlets, mais un paquetage peut faire pire s'il est malicieux). Dans le premier cas, en tant qu'utilisateur, tu récupères le paquetage *-release par HTTPS et tu l'installes sans vérification de la signature, et c'est bon. À la première utilisation du dépôt, RPM te proposera d'importer la clé GPG depuis un fichier local. Dans le deuxième cas, tu récupères le fichier *.repo par HTTPS, tu l'installes (ou alors tu installes un paquetage qui le contient comme dans le premier cas), et à la première utilisation du dépôt, RPM te proposera d'aller récupérer automatiquement la clé GPG par HTTPS et de l'importer.