### Implementa√ß√£o

Come√ßamos por importar o m√≥dulo pysmt.shortcuts que oferece uma API simplificada que disponibiliza as funcionalidades para a utiliza√ß√£o usual de um SMT solver. Os tipos est√£o definidos no m√≥dulo pysmt.typing de onde temos que importar o tipo INT e o BVType (para utiliza√ß√£o de bit vectors)

In [1]:
from pysmt.shortcuts import *
from pysmt.typing import INT

A seguinte fun√ß√£o cria a ùëñ-√©sima c√≥pia das vari√°veis de estado, agrupadas num dicion√°rio que nos permite aceder √†s mesmas pelo nome.

###  Par√¢metros do programa

- **a** e **b**: dois valores inteiros que ser√£o multiplicados
- **n**: precis√£o limitada (em bits)

In [2]:
a = 4
b = 2
n = 4 

### Fun√ß√£o declare

A seguinte fun√ß√£o cria a  ùëñ-√©sima c√≥pia das vari√°veis de estado, agrupadas num dicion√°rio que nos permite aceder √†s mesmas pelo nome.

**x**, **y** e **z** s√£o bit vectors e **pc** (program counter) √© um inteiro

In [3]:
def declare(i):
    state = {}
    state['pc'] = Symbol('pc' + str(i), INT)
    state['x'] = Symbol('x' + str(i), BVType(n))
    state['y'] = Symbol('y' + str(i), BVType(n))
    state['z'] = Symbol('z' + str(i), BVType(n))
    return state

### Fun√ß√£o init

Dado um poss√≠vel estado do programa (um dicion√°rio de vari√°veis), devolve um predicado do pySMT que testa se esse estado √© um poss√≠vel estado inicial do programa.

Analisando o Control Flow Automaton do enunciado do problema, definimos que o estado inicial corresponde a esta parte do diagrama:

![image-2.png](attachment:image-2.png)

O diagrama exige que neste estado tenhamos:

- x igual a **a** (a √© par√¢metro do programa e √© inteiro)
- y igual a **b** (b √© par√¢metro do programa e √© inteiro)
- z igual a **0**

Adicionalmente, definimos que o **program counter** do nosso estado inicial √© 0

Como **x**, **y**, **z** ser√£o bit vectors, constru√≠mos um predicado assumindo os valores inteiros enunciados acima no formato de bit vectors com precis√£o limitada de **n** bits

In [4]:
def init(state):
    return And(Equals(state['pc'], Int(0)), Equals(state['x'], BV(a, n)), Equals(state['y'], BV(b, n)), Equals(state['z'], BVZero(n)))

## Fun√ß√£o trans

Dados dois poss√≠veis estados do programa, devolve um predicado do pySMT que testa se √© poss√≠vel transitar do primeiro para o segundo.

Esta fun√ß√£o cont√©m todas as transi√ß√µes poss√≠veis dentro do programa, basta que uma se verifique para que possamos transitar do estado **curr** para o **prox**

Vejamos o que cada transi√ß√£o representa no Control Flow Automaton ilustrado no enunciado do trabalho

# t1

- Ocorre imediatamente ap√≥s o estado inicial
- Representa a passagem do **program counter** (**pc**) de 0 para 1
- Os valores de **x**, **y**, **z** mant√©m-se iguais

![image.png](attachment:image.png)

# t2 (n√£o overflow) e t3 (overflow)

t2:

- Ocorre quando o valor de y √© par, isto √©, quando o bit menos significativo √© 0 e quando y √© diferente de 0 e quando n√£o h√° overflow
- Representa a passagem do **program counter** (**pc**) de 1 para 2
- O valor de **x** √© duplicado
- O valor de **y** √© dividido por 2
- O valor de **z** mant√©m-se

t3:

- Ocorre quando o valor de y √© par, isto √©, quando o bit menos significativo √© 0 e quando y √© diferente de 0 e quando h√° overflow
- Representa a passagem do **program counter** (**pc**) de 1 para -1
- O valor de **x** √© duplicado
- O valor de **y** √© dividido por 2
- O valor de **z** mant√©m-se


![image-2.png](attachment:image-2.png)

# t4

- Ocorre ap√≥s imediatamente ap√≥s efetuar t2
- Representa a passagem do **program counter** (**pc**) de 2 para 1
- Os valores de **x**, **y**, **z** mant√©m-se iguais

![image-3.png](attachment:image-3.png)

# t5 (n√£o overflow) e t6 (overflow)

t5:

- Ocorre quando o valor de y √© √≠mpar, isto √©, quando o bit menos significativo √© 1 e quando y √© diferente de 0 e quando n√£o h√° overflow
- Representa a passagem do **program counter** (**pc**) de 1 para 3
- O valor de **x** mant√©m-se
- Ao valor de **y** subtra√≠-se 1 
- Ao valor de **z** adiciona-se o valor de **x**

t6:

- Ocorre quando o valor de y √© √≠mpar, isto √©, quando o bit menos significativo √© 1 e quando y √© diferente de 0 e quando h√° overflow
- Representa a passagem do **program counter** (**pc**) de 1 para -1
- O valor de **x** mant√©m-se
- Ao valor de **y** subtra√≠-se 1 
- Ao valor de **z** adiciona-se o valor de **x**

![image-4.png](attachment:image-4.png)

# t7

- Ocorre ap√≥s imediatamente ap√≥s efetuar t5
- Representa a passagem do **program counter** (**pc**) de 3 para 1
- Os valores de **x**, **y**, **z** mant√©m-se iguais

![image-5.png](attachment:image-5.png)

# t8

- Ocorre quando o valor de y √© 0
- Representa a passagem do **program counter** (**pc**) de 1 para 4
- Os valores de **x**, **y**, **z** mant√©m-se iguais

![image-6.png](attachment:image-6.png)

# tSTOP

- Ocorre quando o programa acabou com sucesso
- Representa a passagem do **program counter** (**pc**) de 4 para 4

![image-7.png](attachment:image-7.png)

# tERROR

- Ocorre quando o programa acabou sem sucesso
- Representa a passagem do **program counter** (**pc**) de -1 para -1

![image-8.png](attachment:image-8.png)

In [5]:
def trans(curr,prox):
    t1 = And(
            Equals(curr['pc'], Int(0)),
            Equals(prox['pc'], Int(1)),
            Equals(prox['x'], curr['x']), 
            Equals(prox['y'], curr['y']), 
            Equals(prox['z'], curr['z']) 
        )     

    t2 = And(
            Equals(curr['pc'], Int(1)),
            Equals(prox['pc'], Int(2)), 
            NotEquals(curr['y'], BVZero(n)), 
            Equals(BVZero(1), BVExtract(curr['y'], start=0, end=0)),
            Equals(prox['x'], BVMul(curr['x'], BV(2, n))),
            Equals(prox['y'], BVUDiv(curr['y'], BV(2, n))),
            Equals(prox['z'], curr['z']),
            Equals(BVUDiv(prox['x'], curr['x']), BV(2, n)),
            )

    t3 = And(
            Equals(curr['pc'], Int(1)),
            Equals(prox['pc'], Int(-1)), 
            NotEquals(curr['y'], BVZero(n)), 
            Equals(BVZero(1), BVExtract(curr['y'], start=0, end=0)),
            Equals(prox['x'], BVMul(curr['x'], BV(2, n))),
            Equals(prox['y'], BVUDiv(curr['y'], BV(2, n))),
            Equals(prox['z'], curr['z']),
            NotEquals(BVUDiv(prox['x'], curr['x']), BV(2, n)),
        )
    
    t4 = And(
            Equals(curr['pc'], Int(2)),
            Equals(prox['pc'], Int(1)),
            Equals(prox['x'], curr['x']), 
            Equals(prox['y'], curr['y']), 
            Equals(prox['z'], curr['z']) 
        )

    t5 = And(
            Equals(curr['pc'], Int(1)),
            Equals(prox['pc'], Int(3)), 
            NotEquals(curr['y'], BVZero(n)), 
            Equals(BVOne(1), BVExtract(curr['y'], start=0, end=0)),
            Equals(prox['x'], curr['x']),
            Equals(prox['y'], BVSub(curr['y'], BV(1, n))),
            Equals(prox['z'], BVAdd(curr['z'], curr['x'])),
            BVUGE(prox['z'], curr['z']) 
        )

    t6 = And(
            Equals(curr['pc'], Int(1)),
            Equals(prox['pc'], Int(-1)), 
            NotEquals(curr['y'], BVZero(n)), 
            Equals(BVOne(1), BVExtract(curr['y'], start=0, end=0)),
            Equals(prox['x'], curr['x']),
            Equals(prox['y'], BVSub(curr['y'], BV(1, n))),
            Equals(prox['z'], BVAdd(curr['z'], curr['x'])),
            BVULE(prox['z'], curr['z'])
        )

    t7 = And(
            Equals(curr['pc'], Int(3)),
            Equals(prox['pc'], Int(1)),
            Equals(prox['x'], curr['x']), 
            Equals(prox['y'], curr['y']), 
            Equals(prox['z'], curr['z']),
        )

    t8 = And(
            Equals(curr['pc'], Int(1)),
            Equals(prox['pc'], Int(4)),
            Equals(curr['y'], BVZero(n)),
            Equals(prox['x'], curr['x']), 
            Equals(prox['y'], curr['y']), 
            Equals(prox['z'], curr['z']) 
    )

    tSTOP = And(
                Equals(curr['pc'], Int(4)),
                Equals(prox['pc'], Int(4)),
                Equals(prox['x'], curr['x']), 
                Equals(prox['y'], curr['y']), 
                Equals(prox['z'], curr['z']) 
            )


    tERROR = And(
                Equals(curr['pc'], Int(-1)),
                Equals(prox['pc'], Int(-1)),
                Equals(prox['x'], curr['x']), 
                Equals(prox['y'], curr['y']), 
                Equals(prox['z'], curr['z']) 
            )

    return Or(t1, t2, t3, t4, t5, t6, t7, t8, tSTOP, tERROR)

## Fun√ß√£o gera_traco

Dada uma fun√ß√£o que gera uma c√≥pia das vari√°veis do estado, um predicado que testa se um estado √© inicial, um predicado que testa se um par de estados √© uma transi√ß√£o v√°lida, e um n√∫mero positivo k, utilizamos o SMT solver para gerar um poss√≠vel tra√ßo de execu√ß√£o do programa de tamanho k. Para cada estado do tra√ßo imprimimos o respectivo valor das vari√°veis.

In [6]:
def gera_traco(declare,init,trans,k):

    with Solver(name="z3") as s:
        trace = [declare(i) for i in range(k)]
        
        #adicionar o estado inicial
        s.add_assertion(init(trace[0]))
        
        #adicionar a fun√ß√£o ed transi√ß√£o
        for i in range(k-1):
            s.add_assertion(trans(trace[i], trace[i+1]))
        
        if s.solve():
            for i in range(k):
                print("Passo", i)
                for v in trace[i]:
                    print(v, "=", s.get_value(trace[i][v]))
                print("--------------")

# gera_traco(declare,init,trans,20)

## Fun√ß√£o inv

Dado um poss√≠vel estado do programa (um dicion√°rio de vari√°veis), devolve um predicado do pySMT que testa se nesse estado  **x** * **y** + **z** = **a** * **b**, que √© o invariante que queremos verificar

In [7]:
def inv(state):
    return Equals(BVAdd(BVMul(state['x'], state['y']), state['z']), BVMul(BV(a, n), BV(b, n)))

## Verifica√ß√£o indutiva de invariantes

No caso da verifica√ß√£o de propriedades de seguran√ßa $G\ \phi$, para verificar o invariante $\phi$ por indu√ß√£o temos que verificar as seguintes condi√ß√µes:
- $\phi$ √© v√°lido nos estados iniciais, ou seja, $\mathit{init}(s) \rightarrow \phi(s)$
- Para qualquer estado, assumindo que $\phi$ √© verdade, se executarmos uma transi√ß√£o, $\phi$ continua a ser verdade no pr√≥ximo estado, ou seja, $\phi(s) \wedge \mathit{trans}(s,s') \rightarrow \phi(s')$.

## Fun√ß√£o induction_always

Verifica invariantes por indu√ß√£o. 
A fun√ß√£o recebe como argumento uma fun√ß√£o que gera uma c√≥pia das vari√°veis do estado, um predicado que testa se um estado √© inicial, um predicado que testa se um par de estados √© uma transi√ß√£o v√°lida, e o invariante.

Teremos que testar a validade das duas condi√ß√µes acima recorrendo √† satisfiabilidade, ou seja, usando o solver para encontrar contra-exemplos, devendo o procedimento reportar qual das propriedades falha. Por exemplo, no caso da primeira deve procurar uma valora√ß√£o que satisfa√ßa $\mathit{init}(s) \wedge \neg \phi(s)$.

In [8]:
def induction_always(declare,init,trans,inv):
    with Solver(name="z3") as s:
        s_now = declare(0)
        s_next = declare(1)
        
        #caso base
        s.push()
        s.add_assertion(init(s_now))
        s.add_assertion(Not(inv(s_now)))
        
        if s.solve():
            #significa que encontramos um contraexemplo
            print("A propriedade n√£o √© v√°lida")
            return
        s.pop() #limpa tudo o que foi posto depois do push no solver
        
        #passo de indu√ß√£o
        s.push()
        s.add_assertion(inv(s_now))
        s.add_assertion(trans(s_now, s_next))
        s.add_assertion(Not(inv(s_next)))
        
        if s.solve():
            print("A propriedade n√£o √© v√°lida")
            for k in s_now:
                print(k, "=", s.get_value(s_now[k]))
            return
        s.pop()

# induction_always(declare, init, trans, inv)

## Verifica√ß√£o do invariante x * y + z = a * b

Como n√£o encontramos contra-exemplos com o caso base e o passo de indu√ß√£o, ent√£o o invariante verifica-se