Nome do proprietário significa o nome do lado esquerdo. Este é o nome de domínio totalmente qualificado do registro que você está falando, neste caso, um registro NSEC.
Qualquer um pode interceptar os pacotes e ver os registros neles. Registros NSEC (ou NSEC3) estão lá, então existe algo para realmente criar uma assinatura para nomes inexistentes. No DNS regular, um sinalizador no cabeçalho (NXDOMAIN) indica que não existe um nome. Isso pode ser falsificado, claro. O registro NSEC (ou NSEC3) diz basicamente que "não existem nomes entre esses dois nomes e apenas esses RRs existem para o primeiro nome".
O registro do DS é apenas um hash de um DNSKEY. O DNSKEY entra na zona filho e no registro do DS na zona pai. O pai assina o registro do DS com a DNSKEY da zona pai. Isso estabelece uma cadeia de confiança entre o pai e a criança.