Vous avez presque tout à fait raison. La seule correction est qu'ils sont des hachages de l'ensemble du fichier.
Parfois, les fichiers peuvent être corrompus pendant le téléchargement, quelle que soit la manière utilisée pour les transférer. Les hachages sont là pour s'assurer que le fichier est intact. Ceci est particulièrement utile aux utilisateurs avec de mauvaises connexions Internet. À l'époque où j'utilisais un modem fax, j'avais souvent des problèmes avec des téléchargements corrompus.
Certains gestionnaires de téléchargement (comme GetRight, si je me souviens bien), peuvent même calculer automatiquement le hachage du fichier et le comparer à une valeur connue.
Un autre point intéressant est la sécurité. Un problème potentiel avec les outils open source est de savoir à quel point vous pouvez faire confiance au distributeur. Souvent, des programmes tels qu'Eclipse sont le principal outil utilisé par les éditeurs de logiciels et il est donc extrêmement important pour eux de passer du développeur à l'utilisateur intact. Étant donné que les programmes sont open source, il est possible par exemple de créer une version infectée qui aurait l'air normale, mais de divulguer du code source à un serveur distant ou d'infecter des programmes créés par le logiciel avec un virus (je pense que cela est réellement arrivé à une version de Delphi) ou quelque chose de similaire. Pour cette raison, il est important d'avoir un hachage officiel correct qui peut être utilisé pour vérifier si le fichier distribué est ce qui est censé être.
Quelques réflexions sur les canaux de distribution. Souvent, des logiciels gratuits peuvent être trouvés sur une grande quantité de sites et les sites les plus populaires comme SourceForge, par exemple, ont un grand nombre de miroirs. Disons qu'il y a un serveur à Barland qui reflète un grand site de distribution de logiciels. FooSoft utilise le programme distribué par site et se trouve en République de Baz, juste à côté de Barland. Si quelqu'un voulait infiltrer FooSoft, il pourrait modifier uniquement la copie sur Barland Mirror et espérer que le logiciel de géolocalisation s'assurerait alors que FooSoft obtient les versions modifiées. Étant donné que les versions d'autres miroirs sont correctes, les chances que des logiciels malveillants soient détectés sont plus faibles. Vous pouvez également faire en sorte que les logiciels malveillants détectent l'adresse IP de l'ordinateur et ne l'activent que s'ils se trouvent dans une certaine plage, ce qui réduit les chances de découverte, etc.