Exacto el SO operativo anfitrión dónde será instalado el APK deberá tener el mecanismo de reconocer esa firma como válida y permitir la instalación, o en su lugar informar que contiene o no una firma inválida. En el caso del hash como lo has dicho sería para validar la autenticidad de lo descargado y que es bit a bit igual al origen