Не моя тема, но:Vincent Rijmen - один из двух авторов AES. Процитированное утверждение универсально, но эффективность применения преобразований для S-блоков конкретно AES не вызывала удивления так как структура S-блоков AES была документирована с самого начала.
Суть претензий в том что для ГОСТ'овых S-блоков утверждалось, что они случайны, а значит крайне маловероятно что их удалось бы преобразовать во что-то, запись чего в каком-либо ранее общепринятом виде окажется в разы меньше их размера как таблиц. Упомянутые эксперты же нашли существенно более краткую математическую запись, а сообщество помогло добавить наглядности уместив исходно 256-байтную таблицу (или ~210 байт если вспомнить, что условия задачи требовали чтобы такая таблица была перестановкой) в, например, 72 байта машинного кода под 32-битный x86: https://codegolf.stackexchange.com/questions/186498/proving-...
Про "тайная структура" и "лгут" пишут и обосновывают. Про "закладки" пишут что подтверждения этому нет, но риск подразумевается. Аспекта что именно "русские" по-моему там нет, это нормально что любой криптографический алгоритм вызывает подозрения, а если речь о национальном стандарте, то подозрения в закладках от спецслужб соответствующей страны. Особенно когда что-то скрыли. То же самое было в отношении DES, причем во многом со стороны американцев же (а потом оказалось, что секретная структура S-блоков повышала безопасность). И сейчас возможные проблемы безопасности ГОСТ'ов затрагивают в первую очередь их использование в России же (так как использовать их где-либо еще всё равно почти не будут - просто не нужно) и опасения со стороны "русских" же.
"До белорусских" добрались тоже. А казахские и украинские есть? Я не в курсе.