feat: живой цикл M2M с НРД + мастер установки ключа на флешку

Инфраструктура M2M (живой обмен с НРД через ИШ):
- обработка M2MTransferResponse: ERROR(M2Mxx) → заявка Отклонена, сохранение
  ответа; INFO → ждём Decision; идемпотентность поллера
- fallback-корреляция ответов с нулевым GUID (M2M14/M2M17) по FIFO
- сырой XML ответа НРД в карточке заявки (для пересылки в ТП)
- тестовый пакет роботу приведён к эталону m2m_robot_samples (CostInfo=Yes,
  4 бумаги, IsolationStatus, DocumentSeries=сценарий); override паспорта
- редирект из теста сразу в карточку заявки

Мастер установки ключа Валидаты на флешку (admin/setup/keywizard):
- пошаговый: загрузка .7z+пароль → выбор флешки → запись → справочник
  сертификатов (CRL) → перезапуск+проверка ИШ → готово
- привилегированный воркер (bj-keymedia) в host-namespace через файл-обмен,
  bj-server остаётся в песочнице
- сохранение структуры профиля архива (spr<N>), перечисление съёмных USB

Прочее:
- пакет-доказательство для ТП НРД + форма регистрации участника M2M
- эталонные образцы робота (DOC/m2m_robot_samples)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

internal/lkgateway/web/templates/admin_help_architecture.html

@@ -27,9 +27,9 @@
 │                                        │    (history)     │     │
 │                                        └──────┬───────────┘     │
 │                                               │                 │
-│   КриптоПро CSP — для нашей                  │ Валидата CSP    │
-│   admin-стороны (PKCS#11)                    │ + АПК Валидата  │
-│                                              │   Клиент L      │
+│   АПК «Валидата Клиент L»                    │ АПК «Валидата   │
+│   (PKCS#11) — общий для всех                 │   Клиент L»     │
+│   компонентов                                │                 │
 └──────────────────────────────────────────────┼─────────────────┘
                                                │
                               SOAP/REST/HTTPS  │ Web-сервис ONYX
@@ -62,15 +62,15 @@
       <tr>
         <td><strong>bj-server</strong></td>
         <td>наша</td>
-        <td>РЕД ОС 8 / Linux</td>
-        <td>КриптоПро CSP (PKCS#11) — для админ-части</td>
+        <td>Astra Linux SE 1.7 / Linux</td>
+        <td>АПК «Валидата Клиент L» (PKCS#11)</td>
         <td>Стейт-машина, журнал в БД, веб-админка, lk-emulator</td>
       </tr>
       <tr>
         <td><strong>ИШ (igate)</strong></td>
         <td>наша <span class="muted">(но дистрибутив даёт НРД)</span></td>
-        <td>Astra Linux SE 1.6/1.7 <em>или</em> Windows 10/Server</td>
-        <td>Валидата CSP + АПК Валидата Клиент L</td>
+        <td>Astra Linux SE 1.6/1.7</td>
+        <td>АПК «Валидата Клиент L»</td>
         <td>Подписывает наш XML сертификатом УЦ МБ, упаковывает в пакет ЭДО, отправляет в НРД</td>
       </tr>
       <tr>
@@ -98,16 +98,13 @@
   <p>Нет. <strong>ИШ — это наша программа, поставленная у нас.</strong> НРД даёт дистрибутив (<code>igate_100.0-765_amd64.deb</code>, 117 МБ), но ставим у себя. ИШ — это «персональный почтовый клиент к НРД» с подписью.</p>
 
   <h3>Q: ИШ можно поставить на ту же ВМ, что и bj-server?</h3>
-  <p>Технически да (если та ВМ — Astra Linux). Но у нас bj-server на РЕД ОС, а ИШ требует <strong>Astra Linux</strong> (RPM-версии нет). Поэтому нужно либо: (а) отдельная Astra Linux ВМ, (б) запуск ИШ в Docker-контейнере с Astra-образом, (в) перевод всей инфры на Astra Linux.</p>
+  <p>Да, если ВМ — Astra Linux. И bj-server, и ИШ работают на Astra Linux SE 1.6/1.7 и используют одно и то же СКЗИ — АПК «Валидата Клиент L». Можно собрать всё на одной ВМ или разнести по отдельным.</p>
 
   <h3>Q: Мы перекладываем файлы между bj-server и ИШ?</h3>
   <p>Нет. Мы используем <strong>REST API</strong> ИШ (раздел 2.5 инструкции). bj-server делает HTTP-запросы: <code>POST /api/package/{channel}/file</code> с ZIP в теле. Никаких разделяемых папок. (Альтернативный режим «обменные папки» в ИШ есть — мы его не используем.)</p>
 
-  <h3>Q: Почему ИШ требует Валидата CSP, а мы поставили КриптоПро?</h3>
-  <p>ИШ — отечественная разработка НРД, исторически работает с Валидатой (продукт ООО «Валидата», <code>x509.ru</code>). КриптоПро CSP на нашей ВМ останется — он используется для админ-части bj-server (подпись действий оператора через Рутокен). Валидату надо поставить <strong>на Astra Linux ВМ рядом с ИШ</strong>, не вместо КриптоПро.</p>
-
   <h3>Q: Где брать Валидату?</h3>
-  <p>Не публично. По запросу: email <code>soed@nsd.ru</code> (НРД) или <code>pki@moex.com</code> (МБ). Временная лицензия выдаётся бесплатно для подключения к ЭДО НРД.</p>
+  <p>Дистрибутив для Astra Linux SE опубликован на сайте Московской Биржи: <a href="https://fs.moex.com/cdp/po/ClientL_ALSE.zip" target="_blank" rel="noopener">fs.moex.com/cdp/po/ClientL_ALSE.zip</a>. На Linux отдельной лицензии и регистрационных данных не требует — пакеты <code>zpki</code>/<code>zsdk</code> ставятся через <code>dpkg -i</code> и работают сразу.</p>
 
   <h3>Q: Какой сертификат нужен?</h3>
   <p>Только от <strong>УЦ Московской Биржи</strong> (<code>ca.moex.com</code>). Сертификаты других УЦ ИШ не примет. УЦ МБ выпускает сертификаты только для организаций, подключённых к ЭДО НРД (по договору).</p>