Говорят, Release должен быть подписан Release.gpg. Однако, ничего подобного на дисках не наблюдается. На зеркалах - подписан, на дисках - нет.
http://people.debian.org/~terpstra/message/20070415.095627.a907ea14.en.html ... Yes, the DVD images don't include a Release.gpg file because they are primarily intended to be used as local media, not as network repositories; and they are generated in a process that, AIUI, does not realistically permit them to be signed by a key as secure as the one used for signing the stable archive. So there simply is no trust path to these CD images across the network ... Здорово у нас получается - по сети с удалённого миррора ставиться безопаснее чем с локальной/соседней машины с примонтированными образами.