为什么在举证代码中需要举证检查器

在Necula的经典PLDI'98论文“认证编译器的设计和实现”中，高级验证程序使用：

1. VCGen生成验证条件（安全谓词）
2. 一阶逻辑定理证明者证明条件
3. LF打样检查器检查步骤（2）中的打样

我对步骤（3）感到有些困惑。为什么根本需要它？仅（1）和（2）是否足够？我们为什么不仅仅相信定理证明者生成的证明呢？

证明检查器的目的是使可信计算基础最小化。

通过具有证明检查器，编译器和定理证明器都不需要正确。本文在第3页上指出了这一点：

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

证明检查器仅是几行代码，并且可以手动检查其正确性。相反，表现良好的自动化证明者极其复杂，不太可能正确，尽管经过了充分测试和广泛使用的证明者，这些错误将出现在可能不容易触发的极端情况下。看看组成Lingeling的30k LOC C代码，这是一个先进的SAT求解器，以了解自动定理证明有多复杂。没有证明检查器，您将必须证明该定理证明器正确无误。这超出了我们在2015年在经济上可以做的事情。