Ha egy oldalra ki van téve egy ISO, és mellé az ellenőrző összegek azok vajon mire jók?
Az integritás ellenőrzés arra való, hogy biztosak lehessünk abban, hogy amit letöltöttünk az megegyezik azzal, ami a weboldalon van.
De mire jó a gpt ellenőrző összeg?
Hát arra, hogy biztosak lehessünk abban, hogy az ISO-t tényleg az készítette, aki ezt állítja magáról.
De hogyan lehetek ebben én biztos?

Kezdjük a letöltéssel: https://mirrors.edge.kernel.org/linuxmint/stable/22.1/
Letöltöttem a Cinnamont, és a két txt fájlt.

Hogy működik az ellenőrzés?
Ha az ISO fájlra kattintunk, az letöltődik a gépünkre. De ha a ellenőrző összegekre, akkor azok csak megnyílnak.
Ha magunk akarjuk ellenőrizni, akkor ezeket is le kell töltenünk ugyanabba a mappába, ahol az ISO is van.

Ezután nyitunk a mappában egy terminált, és ezt írjuk bele:
sha256sum -c sha256sum.txt

A terminál válasza valami ilyen lesz:
linuxmint-22.1-cinnamon-64bit.iso: RENDBEN
sha256sum: linuxmint-22.1-mate-64bit.iso: Nincs ilyen fájl vagy könyvtár
linuxmint-22.1-mate-64bit.iso: MEGHIÚSULT a megnyitás vagy olvasás
sha256sum: linuxmint-22.1-xfce-64bit.iso: Nincs ilyen fájl vagy könyvtár
linuxmint-22.1-xfce-64bit.iso: MEGHIÚSULT a megnyitás vagy olvasás
sha256sum: FIGYELMEZTETÉS: 2 felsorolt fájl nem olvasható

Tehát a linuxmint-21.3-cinnamon-64bit.iso: RENDBEN van, nem történt hiba a letöltéskor.
Az ezután következő üzeneteknek az az oka, hogy én csak a LM 22.1 Cinnamon ISO-t töltöttem le, a többit nem, ezért azok ellenőrzése meghiúsult.

De mire is jó a másik ellenőrzés, a sha256sum.txt.gpg?
Fogalmam sincs! Elvileg arra, hogy biztosak lehessünk, hogy azt az ISO-t valóban az készítette, aki arra jogosult, és nem cserélte ki valaki más.
De innen tovább nem tudom, mert nekem sohasem sikerült az ellenőrzés.
Engem az nem nyugtat meg, ha azt kapom eredményül, hogy
Good signature from "Linux Mint ISO Signing Key <root@linuxmint.com>" [Ismeretlen módú]
gpg: FIGYELEM: Ez a kulcs nincs hitelesítve megbízható aláírással!
gpg: Semmi jele, hogy ez a kulcs a megadott tulajdonoshoz tartozik.

Most akkor nyugodjak  meg?

Van egy másik módszer is az ellenőrzésre, de az sem tölt el több bizalommal, ha ez utóbbi azt állítja, ugyanerről az ISO-ról, hogy minden jó és szép, nincs itt semmi látnivaló.
Mert ennél a módszernél meg nincs szó arról, hogy a franc se tudja ki készítette az ISO-t, ahogy a gpg --verify parancs mondja.
De azért leírom a módszert, mert ez csak félig terminálos, hátha valakinek ez szimpatikusabb:

Nyitunk egy terminált ott, ahol az ISO van, és kiadjuk ezt a parancsot:
mint-iso-verify linuxmint-22.1-cinnamon-64bit.iso
Alternatív módszer: jobb klikk az ISO-n > Ellenőrzés.
Ekkor megjelenik az ISO-lemezképfájl ellenőrzés ablak, ami egy beépített Linux Mint alkalmazás, de jól eldugták, a Menüben nem található, csak terminálból indítható. (Gratula!)

Néhány másodperc múlva megjelenik az SHA256 ellenőrzőösszeg, amit ellenőrizhetünk, ha megnyitjuk az sha256sum.txt fájl, ehhez le sem kell tölteni.

Ekkor aktívvá válik az Ellenőrzés gomb, amit ha megnyomunk ezt kapjuk eredményül:
Minden rendben. Ez egy hivatalos ISO-lemezképfájl. Aláírta: „27DEB15644C6B3CF3BD7D291300F846BA25BAE09” Linux Mint ISO Signing Key <root@linuxmint.com>

Itt tehát szó sincs olyasmiről, hogy nem tudjuk ki készítette az ISO-t.
Ez a módszer tehát sokkal jobb, mert nem idegesítjük magunkat feleslegesen azzal, hogy ki tudja, mit fogunk telepíteni.