feat(crypto-service): gRPC-каркас сервиса криптографии (КриптоПро JCP)

- services/crypto-service/proto/crypto.proto — protobuf-контракт VerifyXMLDSig/SignXMLDSig/Health, package ru.zetit.bridgeandjoins.crypto.v1
- services/crypto-service/build.gradle.kts — Gradle Java 21 + protobuf-плагин + shadowJar
- services/crypto-service/src/main/java/.../CryptoServer.java — точка входа на UDS (Netty Epoll)
- services/crypto-service/src/main/java/.../CryptoServiceImpl.java — gRPC-биндинг
- services/crypto-service/src/main/java/.../{Verify,Sign,Health}Handler.java — заглушки операций
- services/crypto-service/src/main/java/.../KeystoreProvider.java — абстракция cryptopro/validata/vipnet/stub
- services/crypto-service/Dockerfile — Liberica JDK 21 → shadowJar → slim
- internal/cryptocli/client.go — Go-клиент по UDS, реализует m2mcore.CryptoVerifier (M1 stub)
- internal/cryptocli/client_test.go — тесты на доступность сокета и ErrNotImplemented
- deploy/docker-compose/docker-compose.yml — добавлен сервис crypto-service с UDS-volume

Реальная криптография КриптоПро JCP подключается после получения
лицензии и jar (положить в services/crypto-service/libs/jcp.jar) и
открытия Maven Central через прокси zetit (для grpc-java/santuario).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

internal/cryptocli/README.md

@@ -0,0 +1,29 @@
+# internal/cryptocli — Go-клиент crypto-service
+
+Реализация `m2mcore.CryptoVerifier` поверх gRPC по Unix Domain Socket.
+
+## Состояние
+
+На M1 — заглушка. Подключается к UDS-сокету crypto-service, проверяет
+доступность и возвращает `ErrNotImplemented`. Этого достаточно, чтобы:
+
+- m2m-core и другие сервисы могли инжектить клиент без условных веток;
+- логи различали «сокета нет» (например, контейнер crypto-service не
+  запущен) от «сокет есть, но криптография не подключена» (нет лицензии
+  КриптоПро JCP).
+
+## Когда станет полноценным
+
+После генерации gRPC-стабов из `services/crypto-service/proto/crypto.proto`
+(требует `protoc` + плагины), что в свою очередь требует доступа к
+Maven Central / Go module proxy через прокси zetit.
+
+## API
+
+```go
+cli := cryptocli.NewClient("/run/bj/crypto.sock")
+info, err := cli.VerifyXMLDSig(ctx, signedXML)
+if errors.Is(err, cryptocli.ErrNotImplemented) {
+    // M1: запасной путь (ручная проверка / откладывание).
+}
+```

internal/cryptocli/client.go

@@ -0,0 +1,61 @@
+// Package cryptocli — Go-клиент crypto-service по UDS. На M1 — заглушка,
+// возвращает ErrNotImplemented. Реальная реализация — после
+// генерации gRPC-стабов из proto (когда прокси откроет proto-tooling
+// и Go-зависимости).
+package cryptocli
+
+import (
+	"context"
+	"errors"
+	"net"
+	"time"
+
+	"git.zetit.ru/zuevav/Bridge-and-Join-s/internal/m2mcore"
+)
+
+// ErrNotImplemented возвращается клиентом до подключения реального gRPC.
+var ErrNotImplemented = errors.New("cryptocli: не реализовано (ждём gRPC-стабы из proto)")
+
+// Client — клиент crypto-service по Unix Domain Socket.
+type Client struct {
+	socketPath string
+	dialer     net.Dialer
+	timeout    time.Duration
+}
+
+// Option настраивает Client.
+type Option func(*Client)
+
+// WithTimeout задаёт таймаут на одну операцию.
+func WithTimeout(t time.Duration) Option {
+	return func(c *Client) { c.timeout = t }
+}
+
+// NewClient создаёт клиента к UDS. На M1 — без реального gRPC.
+// Используется как заглушка, реализующая m2mcore.CryptoVerifier.
+func NewClient(socketPath string, opts ...Option) *Client {
+	c := &Client{socketPath: socketPath, timeout: 5 * time.Second}
+	for _, o := range opts {
+		o(c)
+	}
+	return c
+}
+
+// VerifyXMLDSig вызывает CryptoService.VerifyXMLDSig. На M1 — stub.
+func (c *Client) VerifyXMLDSig(ctx context.Context, _ []byte) (m2mcore.CertInfo, error) {
+	// На M1 проверяем только доступность сокета и возвращаем
+	// ErrNotImplemented. Это позволяет m2m-core логировать «crypto-service
+	// доступен, но криптография ещё не подключена» отдельно от «сокета
+	// нет совсем».
+	dctx, cancel := context.WithTimeout(ctx, c.timeout)
+	defer cancel()
+	conn, err := c.dialer.DialContext(dctx, "unix", c.socketPath)
+	if err != nil {
+		return m2mcore.CertInfo{}, err
+	}
+	_ = conn.Close()
+	return m2mcore.CertInfo{}, ErrNotImplemented
+}
+
+// Ensure Client реализует m2mcore.CryptoVerifier.
+var _ m2mcore.CryptoVerifier = (*Client)(nil)

internal/cryptocli/client_test.go

@@ -0,0 +1,52 @@
+package cryptocli_test
+
+import (
+	"context"
+	"errors"
+	"net"
+	"os"
+	"path/filepath"
+	"testing"
+	"time"
+
+	"git.zetit.ru/zuevav/Bridge-and-Join-s/internal/cryptocli"
+)
+
+func TestClientReturnsErrNotImplementedWhenSocketReachable(t *testing.T) {
+	dir := t.TempDir()
+	socketPath := filepath.Join(dir, "crypto.sock")
+
+	listener, err := net.Listen("unix", socketPath)
+	if err != nil {
+		t.Fatalf("listen unix: %v", err)
+	}
+	defer listener.Close()
+	defer os.Remove(socketPath)
+
+	go func() {
+		for {
+			conn, err := listener.Accept()
+			if err != nil {
+				return
+			}
+			_ = conn.Close()
+		}
+	}()
+
+	cli := cryptocli.NewClient(socketPath, cryptocli.WithTimeout(time.Second))
+	_, err = cli.VerifyXMLDSig(context.Background(), []byte("<xml/>"))
+	if !errors.Is(err, cryptocli.ErrNotImplemented) {
+		t.Errorf("ожидалась ErrNotImplemented, получено %v", err)
+	}
+}
+
+func TestClientReturnsDialErrorWhenSocketMissing(t *testing.T) {
+	cli := cryptocli.NewClient("/nonexistent/crypto.sock", cryptocli.WithTimeout(200*time.Millisecond))
+	_, err := cli.VerifyXMLDSig(context.Background(), []byte("x"))
+	if err == nil {
+		t.Fatal("ожидалась ошибка диалинга на несуществующий сокет")
+	}
+	if errors.Is(err, cryptocli.ErrNotImplemented) {
+		t.Errorf("при отсутствующем сокете не должно быть ErrNotImplemented")
+	}
+}