Зачем (и как) проверять подпись загрузки?

Я скачал rsync с официальной страницы. Каждая загрузка rsync связана с подписью.

Во-первых, почему я должен проверять подпись? Чем я рискую, если не делаю этого? Я предполагаю, что если кто-то сможет внедрить вредоносный код на веб-сайт, он также сможет сгенерировать новую подпись и заменить оригинальную.

Во-вторых, как мне проверить подпись с помощью инструмента командной строки? В моей системе у меня есть gpg установлен, могу ли я это использовать?