Если PGP протух, то йогурт откажется его скачивать

Он попросит добавить ключ самостоятельно либо пропустить его проверку. Оба вариант полагаются на знание того, что будет произведено в последствии.

Т.е. уже не вина пакетного менеджера

Ну вот, к примеру

Gyrfalcon is an implant that targets the OpenSSH client on Linux platforms (centos,debian,rhel,suse,ubuntu). The implant can not only steal user credentials of active SSH sessions, but is also capable of collecting full or partial OpenSSH session traffic. All collected information is stored in an encrypted file for later exfiltration. It is installed and configured by using a CIA-developed root kit (JQC/KitV) on the target machine.

йогурт и ключи? Можно пример?

eris is an automated implant written in C that supports a number of POSIX-based systems (Debian, RHEL, Solaris, FreeBSD, CentOS). It supports automated file exfiltration, configurable beacon interval and jitter, standalone and Collide-based HTTPS LP support and SMTP protocol support - all with TLS encrypted communications with mutual authentication. It is compatible with the NOD Cryptographic Specification and provides structured command and control that is similar to that used by several Windows implants.

найдите outdated-пакет либо не обновляйте репу

не обновлять какую репу? В смысле не обновлять файлы с аура?

Я претполагаю что мы используем йогурт для установки пакетов с аура.

Нет. Подождите, пока пакет не обновится, а репу оставьте прежней

и тогда вывалится ошибка с ключом

как это просимулировать — не знаю

Т.е. пакет должен быть свежее полученных данных с репы или наоборот старее

хотя насчет старее не уверен

Ок, вот пример билда с аура: https://www.archlinux.org/packages/community/i686/telegram-qt/ как мне проверить подписан ли он?

Я не спорю, пакман проверяет ключи. Но не йогурт

Посмотрите проверку PGP. Не могу сейчас сказать.

йогурт тоже проверяет

Ты же понимаешь посмотреть код с экспоитом != Почитать маны?