Absolutamente todas las distros que yo he bajado dan el MD5SUM o el SHA1SUM en un archivo que se encuentra en el servidor FTP junto con la ISO. Por ejemplo, en el caso de Debian, los archivos SHA1SUMS y MD5SUMS contienen esa información. Los archivos con extensión .sign contienen las firmas digitales que te permiten asegurarte de que los archivos MD5SUMS/SHA1SUMS no han sido alterados por terceros.