Tienes casi toda la razón. La única corrección es que son hashes de todo el archivo.
A veces, los archivos pueden corromperse durante la descarga de cualquier forma que se use para transferirlos. Los hashes están ahí para asegurarse de que el archivo esté intacto. Esto es especialmente útil para usuarios con malas conexiones a Internet. Cuando estaba usando el módem de fax, a menudo tenía problemas con las descargas corruptas.
Algunos gestores de descargas (como GetRight, si no recuerdo mal), incluso pueden calcular automáticamente el hash del archivo y compararlo con el valor conocido.
Otro punto interesante es la seguridad. Un problema potencial con las herramientas de código abierto es cuánto puede confiar en el distribuidor. A menudo, los programas como Eclipse son la herramienta principal utilizada por las compañías de software y, por lo tanto, es extremadamente importante para ellos pasar intactos del desarrollador al usuario. Dado que los programas son de código abierto, es posible, por ejemplo, hacer una versión infectada que se vea normal, pero filtrar el código fuente a algún servidor remoto o infectar programas creados por el software con un virus (creo que esto realmente le sucedió a alguna versión de Delphi) o algo similar. Por esa razón, es importante tener un hash correcto oficial que pueda usarse para verificar si el archivo distribuido es lo que se dice que es.
Algunas reflexiones sobre los canales de distribución. A menudo, se puede encontrar software gratuito en una gran cantidad de sitios y los sitios más populares como SourceForge, por ejemplo, tienen una gran cantidad de espejos. Digamos que hay un servidor en Barland que refleja un gran sitio de distribución de software. FooSoft usa el programa distribuido por sitio y están en Republic of Baz, que está justo al lado de Barland. Si alguien quisiera infiltrarse en FooSoft, podría modificar solo la copia en el espejo de Barland y esperar que el software de geolocalización se asegure de que FooSoft obtenga las versiones modificadas. Dado que las versiones de otros espejos están bien, hay menos posibilidades de que se detecte malware. También puede hacer que el malware detecte la dirección IP de la computadora y se active solo si es de un cierto rango, y de esa manera disminuye las posibilidades de descubrimiento, etc.