Il record RRSIG è la prova che un certo RRset è stato pubblicato dal titolare di una determinata chiave.
Quando l'entità padre pubblica un record DS nella zona padre, in pratica dice "abbiamo ricevuto la prova che l'entità a cui abbiamo fatto questa delega è anche in possesso della chiave con l'hash che abbiamo pubblicato in il nostro registro DS " (tipo di un'istruzione ricorsiva, ma spero che tu la capisca).
Questo hash deve corrispondere al DNSKEY trovato nella zona figlio affinché DNSSEC convalidi. Si potrebbe dire che una partita in questa fase sarebbe sufficiente per dimostrare che la delega è valida. Ma firmando l'attuale DNSKEY RRset puoi anche essere sicuro che i dati all'interno della risposta DNSKEY provengono effettivamente dal titolare della chiave che corrisponde al record di DS.
Senza la firma i dati DNSKEY potrebbero essere effettivamente dannosi. A questo punto non riesco davvero a fare un attacco, ma è meglio prevenire che curare, credo?