А если юзер скачивает не бинарный пакет, а source пакет? - это как раз .dsc - сигнатура там нужна для того же для чего и в бинарном пакете - юзеру проверить его целостность.
source.changes файл, например, в Ubuntu PPA - закачивается на build сервер. в нём есть контрольная сумма .dsc и tar.gz. На билд сервере он билдится. Как же билд сервер узнает что закачал архив именно автор программы? По цифровой подписи. Потом билд сервер подпишет бинарный пакет своей цифровой подписью. Если бы подлинность source.changes проверялось чем-то менее секьюрным чем цифровая подпись - это было бы слабым звеном.
