Да еще в добавление к тем отличиям отDES можно сказать что: 1. ГОСТ не восприимчив ни линейному ни к дифференциальному криптоанализу 2. В отличие от DES у алгортима нет фиксировнных S-блоков, (т.е каждый может сам при помощи генератора случайных чисел создать себе набор S-блоков и у спецслужб может неоказаться инструментов для вскрытия ГОСТа) Информация не взята с потолка, для неверующих - отсылаю к книге "Прикладная криптография" Брюса Шнайера, там более подробно расписаны отличия между усопшим DES и ГОСТ
Если задавать S-boxes самому, то возникает вопрос их доверенной передачи принимающей стороне. Это раз. в DES также можно S-boxes заменить, это два. Сравнивать эти стандарты бессмысленно, так как алгоритм генерации государственных S-boxes у нас закрыты (?). У DES есть MIL modifications, что по DOD клерам, ГОСТ там рядом не валялся. TrippleDES слышал, а вот про TrippleGOST что-то ни разу. Далее дифференциальному криптоанализу ГОСТ подвержен, ибо достаточное кол-во методов, на которых есть выпадения. (вообще слово "дифференциальный" звучит конечно гордо, но каждый подразумевает свой смысл)
p.s. Давайте будем кричать "ура" когда будем разбираться в вопросе не по единственной прочитанной книжке Шнайера.
p.p.s. а теперь полезная информация :) http://cryptolib.com/pgp/ тут лежит CKT версия PGP единственная, которая не несет изменений, предписанных правительством США.
Пишушим хвалебные оды алгоритму ГОСТ хочу заметить, что изменение S-блоков намного более проблематично, чем ключа в связи с оптимизацией под "железо", куда там до использования эфимерных S-блоков. А вывод про устойчивость к линейному или диффиринциальному криптоанализу основывается на анализе этих самых S-блоков, так что если они стали доступны криптоаналитику - молитесь богу, чтобы они не были слабы против этих атак. А учитывая, что некоторые товарищи советуют генерировать их случайным образом, считайте что эти атаки будут успешными.