Приложения уровня подписи в пользовательском ПЗУ

Это скорее концептуальный вопрос, но мне было любопытно, как создать собственные приложения с разрешением на уровне подписи перед сборкой платформы / сборкой ПЗУ? Скажем, я хочу сделать приложение с protectionLevel="signature". Означает ли это, что я должен использовать ключи платформы (pk8 и pem), чтобы получить релиз APK, а затем прошить его после установки ПЗУ? Может ли это быть одновременно? Кроме того, почему можно добавить такие приложения, как OpenGapps, для которых требуются разрешения на уровне подписи, если подписи не соответствуют ПЗУ?