vologok734

В оригинальном ядре linux есть несвободные прошивка и блобы

Это неверное заявление. Ядро Торвальдса (вы же его называете "оригинальным"?) доступно в виде исходников под набором свободных лицензий. Но часть этих исходников -- это драйвера устройств, для работы которых требуется firmware, возможно проприетарное. Если собрать такое ядро, то оно будет полностью свободным, но ряд устройств для работы потребует проприетарных блобов, не являющихся частью ядра. Несвободные компоненты в принципе не могут стать частью этого ядра из-за конфликта лицензий.

какое ядро всё-таки использует Debian ?

Можно тупо взять и посмотреть, например для debian 12: https://packages.debian.org/source/bookworm/linux
Внизу страницы есть ссылки на архив с исходниками ядра (это копия ядра из ветки stable) и на архив исходников debian-пакета, а также ссылка на git последнего.

GNU/Linux. ванильное ядро собирают со своей конфигурацией без несвободных включений.

Теория говорит, что можно.
При достаточной вычислительной мощности и времени.
Для некоторых алгоритмов время исчисляется часами, для некоторых на современном этапе развития вычислительной техники -- годами, для некоторых -- веками....

Это называется коллизия.
Для большинства образов сообщают точный размер и хэш на разных алгоритмах.
Заразить образ вирусом так, чтобы все эти параметры сошлись на практике невозможно. Ты будешь миллион лет искать такую коллизию при текущем уровне технологий.

Зависит от алгоритма хеширование, md5 уже считается уязвимым, а sha256 на данный момент надежен.