הרעיון מתבסס על הקונספט של מפתחות הצפנה אסימטריים (שזו גם תורה קטנה למי שחדש) שמשמשים כאן לאימות תקשורת הDNS בתהליך קצת מורכב. בגדול השאילתה בודקת אם המפתחות שבתשובה תואמים למה שנשלח ואז או שיש או שאין אימות. למדתי על זה לפני שנים לא זוכר כל השדות של dnssec אבל יש הרבה חומר באנגלית כמו כאן:https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
אם צריך תקרא קודם על הקונספט של מפתחות הצפנה