Firmar los paquetes complica bastante el poder modificarlos mediante un MiTM.

Puedes seguir "viéndolos"... Pero para poder modificarlos necesitarías conocer las llaves de firam negociadas por los extremos y "refirmar" cada paquete con la firma adecuada, de forma que el otro extremo lo diese por bueno al validar la integridad del paquete...

Es algo similar a verificar la suma MD5 de un paquete cuando lo descargas de una fuente. Te garantizas que el paquete es el que colocaron los desarrolladores 8salvo que alguien haya sido capaz de modificar NO SOLO el paquete en uno de los mirrors, sino la web principal para cambiar la suma MD5... En ese caso, debería haber sido capaz de modificar todos los mirrors, o a al gente le cantaría.

Si lo que quieres es que no se vean tampoco, tendrás que encriptarlos.