Nach Installation der DNSSEC Tools mit

apt install dnssec-tools

kann man mit dem einem kleinen Script den DS Record aktualisieren:

getds -p -a SHA256 .|grep 'IN[[:space:]]*DS' > root.key

Wenn an dieser Stelle bereits ein validierender Resolver verwendet wird, dann ist das Resultat auf jeden Fall authentisch.