Разработчики дистрибутива Arch Linux уведомили пользователей о включении по умолчанию функции проверки цифровых подписей пакетов начиная с выпуска пакетного менеджера pacman 4.0.3-2. Поддержка проверки пакетов по цифровой подписи была реализована в pacman ещё пол года назад, но до этого момента данная функция не была включена по умолчанию из-за неготовности инфраструктуры. Указанная возможность позволяет гарантировать, что устанавливаемый из репозитория пакет не был подменён и получен в том виде, в котором его изначально подготовили разработчики, что особенно полезно при установке пакетов с произвольных зеркал.

После установки обновления с pacman-4.0.3-2, пользователю будет предложено запустить команды:

   pacman-key --init   pacman-key --populate archlinux 

после выполнения которых будет создано локальное хранилище ключей и загружены все необходимые проверочные ключи, в том числе пять основных публичных ключей, используемых для подтверждения валидности пакетов Arch Linux. В процессе импорта ключей с целью предотвращения подмены ключей в процессе загрузки программа предложит сверить хэши ключа с хэшами опубликованными на официальном сайте. Управление верификацией пакетов осуществляется через директиву SigLevel в файле конфигурации pacman.conf.