ale z drugiej strony upewnić się że suma kontrolna sumy kontrolnej pliku również się zgadza nie zaszkodzi %%%%

MX-18.1_x64.iso.sha256.sha256

Weryfikacja sum jest po to aby mieć pewność, że plik nie został zmodyfikowany (np. że hak1er XYZ nie wbił na serwery i nie wstawił obrazu płyty o identycznym rozmiarze… ale z np. rootkitem)…

Poza tym aby weryfikacja via sumy miała minimalny sens to i sumy i obrazy powinny leżeć na niezależnych od siebie serwerach. Co więcej, do sum można generować tak zwane kolizje, więc lepszy sposobem jest wyliczenie kilku różnych i sprawdzanie kilku różnych. A już najlepszym jest po prostu podpis cyfrowy.

PS: Widzę, że uruchamiasz windowsowe programy, a więc pewnie na Windows. A skoro tak to polecam HashTab. Dodaje zakładkę do właściwości pliku gdzie można i sumy porównywać i wyliczać ich pierdylion typów. Na Linuksie coś podobnego kiedyś działało na Mint 17.x w Nemo z rozszerzeniem gtk-hash.

Można, ale znajdź mi kolizję jakichkolwiek danych hashowanych przez sha256

dlaczego zwyczajnie takiej sumy która ma się zgadzać nie umieścić na stronie zaraz obok linku do każdego iso?

Bo taki plik jest rozpoznawany przez programy do sprawdzania sum kontrolnych i automatycznie porównywany z wyliczoną sumą