Perché è richiesto Proof Checker nel Codice di trasporto Proof

Nel classico documento PLDI'98 di Necula, "La progettazione e l'implementazione di un compilatore di certificazione", il verificatore di alto livello utilizza:

1. VCGen per generare condizioni di verifica (predicati di sicurezza)
2. Teorema della logica del primo ordine per dimostrare le condizioni
3. Correttore di prove LF per verificare la prova dal passaggio (2)

Sono un po 'confuso dal passaggio (3). Perché è richiesto? Solo (1) e (2) non saranno sufficienti? Perché non ci fidiamo solo della dimostrazione generata da un teorema dimostratore?

Lo scopo del correttore di bozze è di ridurre al minimo la base informatica affidabile .

Avendo un correttore di prove, né il compilatore né il prover teorema devono essere corretti. L'articolo sottolinea questo punto a pagina 3:

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

Un correttore di bozze è solo un paio di righe di codice e può essere controllato a mano per verificarne la correttezza. Al contrario, un prover automatizzato che funziona bene è estremamente complesso e difficilmente corretto, anche se con tester ben collaudati e ampiamente usati, gli errori saranno in casi limite che potrebbero non essere facili da innescare. Dai un'occhiata al codice LOC 30k LOC che costituisce Lingeling , un risolutore SAT all'avanguardia per vedere quanto possono essere complicati i dimostratori di teoremi automatizzati. Senza un correttore di prove, dovresti dimostrare che il teorema dimostratore ha ragione. Questo è al di là di ciò che possiamo fare economicamente nel 2015.