to all
Не важно, один источник или разные. Важен факт доказательства легитимности. Если утвержденным регламентом Каспера (формуляром) предусмотрен любой способ обновления баз - выбираем любой. Если только описанный мной выше, то иные способы априори нелегитимные.
Если указаний на конкретику нет, то можно, конечно, утилитами качать и проверять сигнатуры каждого файла, но зачем самому себе на пустом месте сложности создавать. И, чисто с формальной точки зрения, за доверенность источника в сертиф.версии ksc/kes отвечает АО Лаборатория Касперского (методы аутентификации при подключении к репозиторию, методы шифрования канала, методы сличения контр.сумм и т.д.) при условии соблюдения эксплуатантом правил того же формуляра. А вот за юзание каких-то публичных утилит (пусть и с сайта ЛК) и ручную или иную проверку контр.сумм (пусть и через сайт ЛК) каждый (подчеркиваю) раз отвечает эксплуатант всецело и непосредственно...
