La comprobación de las sumas de verificación mediante MD5 o SHA-1 es una realidad desde hace años, pero si algo aprendimos de los recientes ataques a Linux Mint y Transmissión es que incluso eso puede no ser suficiente. Nada impide a un atacante manipular también las sumas de verificación para que coincidan. Para evitar esto y proporcionar un grado de seguridad mayor se inventaron las firmas GPG en la verificación de software, que nos permite comprobar que los archivos que estamos descargando son auténticos.