Also ich finde die Idee ganz gut.

Noch eine kleine Anregung:
Nach dem Download der Dateien kann mit dem aus der XML Datei bekannten HASH die Datei überprüft werden ob sie richtig heruntergeladen wurde.

Zu MD5:
MD5 gilt schon als gehackt. Das bedeutet man kann damit nicht mehr sicher Passwörter "verschlüsseln". Was in deinem Fall aber ziemlich egal ist. Deswegen würde ich diesen verwenden da dieser schon länger existiert und eine gute Performance aufweißt.