De https://manpages.debian.org/wheezy/multistrap/multistrap.1 :
--no-auth - permite o uso de repositórios não autenticados. O mesmo que noauth=true
O que eu entendo dessa definição é que multistrapnão tentará autenticar, portanto, softwares inseguros podem ser instalados.
No entanto, não parece ser o caso: A configuração noauth=true lança o seguinte erro :
Get:1 http://ftp.uk.debian.org/debian buster InRelease [122 kB]
Err:1 http://ftp.uk.debian.org/debian buster InRelease
The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 04EE7237B7D453EC NO_PUBKEY 648ACFD622F3D138 NO_PUBKEY DCC9EFBF77E11517
Reading package lists... Done
W: GPG error: http://ftp.uk.debian.org/debian buster InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 04EE7237B7D453EC NO_PUBKEY 648ACFD622F3D138 NO_PUBKEY DCC9EFBF77E11517
E: The repository 'http://ftp.uk.debian.org/debian buster InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
apt update failed. Exit value: 100
A parte interessante é que a configuração noauth=falsecorrige o problema.
O que noauthcausa exatamente?
Seu entendimento está correto. No entanto, existe um bug no multistrap para que ele não configure corretamente o apt para instalar pacotes não autenticados. Uma descrição do problema e um patch para corrigi-lo estão disponíveis no relatório de bug do debian #908451 ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=908451 ).
Mais informações sobre noauth=false (ou seja, autenticar):