E( P , k ) = C sao cho C[i] = (P[i] + k) % 26; 
 D(C, k)  = P sao cho P[i] = (C[i] - k)%26;

C[i] = E( P xor C[i-1], k )
C[0] = IV ( initial vector <=> 1 giá trị bất kì nào đó )
giải mã như sau:
P[i] = D( C[i], k  ) xor C[i-1]

// b = block size; ^: phép xor;  y = block cuối của cypher text ; 
// O( S  ) = 1 nếu nhận được SOMETHING_ELSE

1) chọn một vài random byte r[1] , . . . , r[b] and take i = 0
2) r = r[1]| . . . r[b−1]|(r[b] ^ i)
3) if O(r|y) = 0 then i++, trở lại bước 2
4) r[b] = r[b] ^ i
5) for n = b down to 2 do
  (a) chọn r = r[1]| . . . |r[b−n]| (r[b−n+1] ^ 1)r[b−n+2] . . . r[b]
  (b) if O(r|y) = 0 then stop and output (r[b−n+1] ^ n) . . . (r[b] ^ n)
6.) output rb ^ 1

____1 = D(Y, key) xor R 
==> D(Y,key) = _____1 xor R 
==> D(Y, key)[b]  = R[b] xor 1 
==> P[last][b] = R[b] xor 1 xor C[last-1]
==> giải mã được byte cuối cùng không cần key.

// Giải sử tìm được D( y[j..b] , key ), gọi nó là a[j]..a[b], y là block cần giải mã

1) chọn r[k] = a[k] ^ (b − j + 2) for k = j, . . . , b
2) chọn r[1] , . . . , r[j−1] at random and take i = 0
3)  r = r[1] . . . r[j−2] (r[j−1] ^ i) r [j] . . . r[b]
4) if O(r|y) = 0 then i++ ; trở lại bước 3
5) output r[j−1] ^ i ^ (b − j + 2)