Если многочлен $П(х)$ (думайте об этом как о функции, которая принимает ввод $х$ и возвращает результат оценки) оценивается как нуль для определенных входных значений для $х$ (очень простой пример может быть $х=х_1, х_2, х_3$), то, как указано в первом цитируемом отрывке вопроса, $П(х)$ будет кратным полиному низшей степени $Z(х)$ что равно нулю для этих входных значений для $х$ (вот это будет $Z(х)=(х-х_1)(х-х_2)(х-х_3)$). Это означает, что если $П(х)$ делится на $Z(х)$, частное (назовем его $Ч(х)$) по-прежнему будет полиномом. Доказательство вычисляет $Ч(х)$ фактически выполняя деление, а именно $P(x)/Z(x)$, и это $Ч(х)$ отправляется от Доказывающего к Верификатору в качестве «Доказательства». Затем Верификатор подтверждает, что продукт $Ч(х)$ и $Z(х)$ действительно равно $П(х)$, и если это так, Верификатор принимает доказательство. Верификатор также должен подтвердить, что $Ч(х)$ на самом деле является многочленом, а не функцией какого-либо другого типа (например, это не должна быть рациональная функция, которая представляет собой нетривиальную дробь с полиномиальными числителем и знаменателем). На практике это в значительной степени подтверждается по умолчанию из-за того, как Prover общается или вычисляет $Ч(х)$. Например, если протокол требует, чтобы доказывающая сторона отправляла коэффициенты $Ч(х)$, то очевидно, что это многочлен. Или, если протокол требует, чтобы прувер вычислял $Ч(г)$ для секретного значения $г$ (означающий, что $Ч(х)$ оценивается в $х=г$), то доказывающему будет предоставлена «Общая ссылочная строка», которая включает кодировки (например, в показателе степени генератора группы в дружественной к спариванию группе) степеней $г$ до высшей степени (например, ${г^{г}, г^{г^2}, г^{г^3}, г^{г^4}, г^{г^5}}$), поэтому Доказывающий вынужден предлагать только многочлен $Ч(х)$ (оценивается в $х=г$) со степенью до этой высшей степени (в этом простом примере 5).
