Preciso realmente verificar se é do site oficial? Qual é o risco?
Bem, não sei se você percebeu, mas o link não é HTTPS. Você poderia ter baixado facilmente de uma página da Web representada. No entanto, o uso da assinatura PGP permite verificar se o arquivo está correto e da equipe do Ubuntu.
Não tem o comando gpg em um mac; posso pular este passo?
Homebrew: link . O que é a vida em um Mac sem homebrew ou afins?
Fiz um 256 checksum do meu .iso e não corresponde ao que foi hospedado ...
Não posso dizer realmente - o arquivo foi completamente baixado? Ele foi corrompido de alguma forma?
Note que o Ubuntu oferece torrents oficiais - considere baixar usando esses recursos para confiabilidade.