>>123
同感。

>>124
上で>>120のいうように公式サイトに置かれているバイナリがおかしなものだと仮定する。
では、ソースから自分でビルドしたものが安全なのか。

そのソースコードが悪意のあるソフトでないとコード全文確認を実施したのか?
ソースに変なコードが混じっていないと確認したのか?(クラック版と差し替え)
ハッシュ値が同じだから大丈夫? そのハッシュが正しいとどうやって確認した

というお話。実際に、サイトが改ざんされていて、ハッシュ値やソースが差し替えられていたことは
オープンソース界隈のサーバで行われていたこと。