В основе DNSSEC лежат алгоритмы криптографии с открытым ключом. Подробный разбор механизмов DNSSEC потребует как минимум большой отдельной статьи. Однако общие принципы можно описать в нескольких абзацах.

Итак, суть DNSSEC в том, что адресная информация в DNS может быть подтверждена с помощью цифровой подписи. В дальнейшем любой желающий может убедиться в достоверности адресных данных, проверив соответствующую цифровую подпись. Если утрировать ситуацию, то можно сказать, что цифровая подпись - это последовательность байтов со строго определёнными значениями, зависящая от тех данных, которые подтверждаются этой подписью.

То есть к адресной информации в ответе, например, DNS-сервера добавляется строка байтов, представляющая собой цифровую подпись. Конкретная подпись, если говорить в общих чертах, валидна только для тех данных, которые ей подписаны.

Поэтому отрезать подпись от одних данных и приставить к другим на практике не получится. Тут, впрочем, нужно обязательно отметить в скобках, что, в теории, для всех современных практических алгоритмов электронной подписи одна и та же подпись может соответствовать разным данным. Фокус в том, что на практике вероятность подобного совпадения пытаются свести к незначительной величине.

Понятно, что генерировать подпись для заданного набора данных должен администратор, ответственный за эти данные и, что важно, обладающий признаваемой другими участниками авторизацией. Но об этом ниже.