Quando controlli il valore dell'hash, devi controllarlo con un valore hash di riferimento : questo non risolve il problema, ma lo sposta semplicemente. Devi comunque assicurarti di avere il valore hash corretto. Se il valore hash viene ottenuto attraverso lo stesso canale del pacchetto software (cioè entrambi li hai ottenuti da una pagina Web HTTPS), non hai ottenuto nulla contro gli attaccanti: se l'utente malintenzionato poteva modificare il pacchetto, allora poteva anche ricalcolare l'hash e modifica il valore dell'hash che ottieni in modo da non vedere alcun problema. In genere, qualcuno che dirotta il server di download stesso.
I valori di hash "da soli" sono buoni a rilevare errori di trasmissione random (ad esempio un router con RAM scadente), non alterazioni intenzionali .
Le firme digitali offrono un servizio avanzato: collegano il pacchetto al individuo che ha prodotto esso, indipendentemente dai server intermedi. Con una firma GPG, puoi scaricare il pacchetto da un sito mirror ombreggiato e non devi ancora temere che il pacchetto sia bug.
Per quanto riguarda le prestazioni , sappi che la verifica della firma avrà lo stesso costo del calcolo di un hash, oltre a un'operazione matematica supplementare che anche un PC asmatico dovrebbe essere in grado di fare in pochi millisecondi. Dubito seriamente che potresti osservare quel costo extra.