Molto probabilmente il checksum è proprio questo: un assegno per assicurarsi che nessuno dei parametri sia cambiato durante il transito. Il modo più semplice per fare qualcosa di simile è con un hash MD5 SHA256 (o persino) dei parametri URL. Per qualcosa di simile, anche MD5 può essere una scelta ragionevole per l'algoritmo di hash (non stiamo parlando di password qui). Viene utilizzato un algoritmo di hash perché se si modifica un singolo carattere si modifica l'hash dell'output e (anche con MD5) può essere difficile trovare un altro insieme di input che corrisponda all'output specificato.
Con una funzione di hash ti verrebbe assolutamente in errore se decodifichi i risultati in base64. La funzione hash genera effettivamente bit "random" di dati, quindi c'è una piccola possibilità di generare caratteri ASCII con i dati binari non elaborati. Invece si ottiene senza senso. Va bene, però, perché il valore esatto dell'hash non ha importanza, solo che chiunque raccoglie i dati GET dall'altra parte e lo ha hash ottiene esattamente lo stesso hash di quello che è stato passato nella richiesta.
Non sono sicuro di quale funzione hash generi una stringa di 28 caratteri quando codifica in base 64 ( MD5 genera 22 o 24 stringhe di caratteri ). Potrebbe essere un hash personalizzato. Potrebbe essere qualcos'altro tutti insieme, ma la migliore ipotesi è che è solo l'output di una sorta di algoritmo di hashing.