Вы правы в своих ожиданиях.
Проверьте этот пример в Apache .
И это ссылка на Ubuntu md5sum .
С точки зрения безопасности, криптографические хеши, такие как MD5, позволяют аутентифицировать данные, полученные с небезопасных зеркал.
Хэш MD5 должен быть подписан или получен из безопасного источника (страница HTTPS) организации, которой вы доверяете .