Например, тут есть описание: https://www.opennet.ru/docs/RUS/gph/ch01s04.html
Смысл в том, что asc это цифровая подпись и никто кроме меня не может подписать файл моей подписью
Иными словами, sha256 позволяет проверить лишь то, что файл получен верно, без ошибок. Но, если злоумышленник подменит дистрибутив программы и подменит sha256 файл, то подлога не заметить. Цифровую подпись же не поделаешь, поэтому если asc проходит проверку, то это уж точно тот файл, который я выпускал.
Но, это всё, скорее, "на всякий случай". Сайт работает только через https, т.е. все передаваемые данные шифруются, поэтому даже "просто подменить файл" далеко не так-то просто.