O md5sum é para verificar se o ISO foi completamente e corretamente baixado, não para verificar a origem do uploader.
No entanto, muitas vezes há outro arquivo - um arquivo asc-or pgp - que contém uma assinatura pgp desanexada, e pode ser usado para verificar a origem dos arquivos. A assinatura separada é frequentemente para o arquivo md5 (não o arquivo ISO em si); mas se o arquivo md5 for original e disser que a soma de verificação do arquivo ISO está correta, então você tem uma cadeia intacta que garante que o arquivo ISO também seja genuíno.
Realmente não importa se o site de download para todos é inseguro. Se um ou todos os arquivos foram adulterados, isso seria detectado por pgp
. Contanto que a chave secreta do autor não tenha sido comprometida - ou você não tenha sido enganado para verificar o download com uma chave pública falsa (uma chave fingindo ser apenas do autor), então você detectará qualquer adulteração. Ou porque a soma de verificação do arquivo ISO não corresponde, porque o arquivo md5 não pode ser verificado, ou porque gpg
não processa corretamente a assinatura separada com a chave pública do autor
Por exemplo, você fez o download de image.iso
. Você verifica se ele está corretamente baixado encontrando o md5sum e comparando-o ao conteúdo do arquivo image.iso.md5
. Em seguida, você pega a image.iso.md5.asc
e a chave pgp pública do usuário / programador e usa gpg
para confirmar que image.iso.md5
é original e não tratada. Supondo que seja, então também o seu arquivo ISO é - assumindo que a soma de verificação md5 foi correspondida.