feat: живой цикл M2M с НРД + мастер установки ключа на флешку

Инфраструктура M2M (живой обмен с НРД через ИШ):
- обработка M2MTransferResponse: ERROR(M2Mxx) → заявка Отклонена, сохранение
  ответа; INFO → ждём Decision; идемпотентность поллера
- fallback-корреляция ответов с нулевым GUID (M2M14/M2M17) по FIFO
- сырой XML ответа НРД в карточке заявки (для пересылки в ТП)
- тестовый пакет роботу приведён к эталону m2m_robot_samples (CostInfo=Yes,
  4 бумаги, IsolationStatus, DocumentSeries=сценарий); override паспорта
- редирект из теста сразу в карточку заявки

Мастер установки ключа Валидаты на флешку (admin/setup/keywizard):
- пошаговый: загрузка .7z+пароль → выбор флешки → запись → справочник
  сертификатов (CRL) → перезапуск+проверка ИШ → готово
- привилегированный воркер (bj-keymedia) в host-namespace через файл-обмен,
  bj-server остаётся в песочнице
- сохранение структуры профиля архива (spr<N>), перечисление съёмных USB

Прочее:
- пакет-доказательство для ТП НРД + форма регистрации участника M2M
- эталонные образцы робота (DOC/m2m_robot_samples)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

internal/lkgateway/licensecheck.go

@@ -0,0 +1,79 @@
+package lkgateway
+
+import (
+	"time"
+
+	"git.zetit.ru/zuevav/Bridge-and-Join-s/internal/license"
+)
+
+// DefaultLicensePublicKey — публичный ключ лицензий, зашитый в релиз.
+// Пустой в исходниках; подставляется при официальной сборке. Если задан в
+// настройках (LicenseSettings.PublicKey) — приоритет у настроек.
+var DefaultLicensePublicKey = ""
+
+// LicenseStatus — сводка состояния лицензии для UI и гейтов.
+type LicenseStatus struct {
+	Present       bool   // ключ введён
+	Valid         bool   // подпись верна и срок не истёк
+	Tenant        string
+	Plan          string
+	ExpiresAt     time.Time
+	DaysLeft      int
+	AllowsUpdates bool
+	Message       string
+}
+
+// licensingEnabled — включено ли лицензирование (есть публичный ключ для
+// проверки). Если ключа нет вовсе — продукт в открытом режиме, гейты не
+// действуют (удобно для разработки и бесплатной редакции).
+func licensingEnabled(rc *RuntimeConfig) bool {
+	return rc.Snapshot().License.PublicKey != "" || DefaultLicensePublicKey != ""
+}
+
+// licenseStatus разбирает и проверяет лицензию из настроек.
+func licenseStatus(rc *RuntimeConfig) LicenseStatus {
+	s := rc.Snapshot().License
+	st := LicenseStatus{}
+	if s.Key == "" {
+		st.Message = "лицензионный ключ не введён"
+		return st
+	}
+	st.Present = true
+
+	pubB64 := s.PublicKey
+	if pubB64 == "" {
+		pubB64 = DefaultLicensePublicKey
+	}
+	if pubB64 == "" {
+		st.Message = "нет публичного ключа для проверки лицензии"
+		return st
+	}
+	pub, err := license.ParsePublicKey(pubB64)
+	if err != nil {
+		st.Message = "неверный публичный ключ: " + err.Error()
+		return st
+	}
+	tok, err := license.DecodeToken(s.Key)
+	if err != nil {
+		st.Message = "неверный формат ключа: " + err.Error()
+		return st
+	}
+	lic, err := license.Verify(tok, pub)
+	if err != nil {
+		st.Message = "подпись лицензии недействительна"
+		return st
+	}
+	now := time.Now().UTC()
+	st.Tenant = lic.Tenant
+	st.Plan = string(lic.Plan)
+	st.ExpiresAt = lic.ExpiresAt
+	st.DaysLeft = lic.DaysLeft(now)
+	st.AllowsUpdates = lic.AllowsUpdates()
+	if err := lic.Valid(now); err != nil {
+		st.Message = err.Error()
+		return st
+	}
+	st.Valid = true
+	st.Message = "активна до " + lic.ExpiresAt.Format("02.01.2006")
+	return st
+}