feat: живой цикл M2M с НРД + мастер установки ключа на флешку

Инфраструктура M2M (живой обмен с НРД через ИШ):
- обработка M2MTransferResponse: ERROR(M2Mxx) → заявка Отклонена, сохранение
  ответа; INFO → ждём Decision; идемпотентность поллера
- fallback-корреляция ответов с нулевым GUID (M2M14/M2M17) по FIFO
- сырой XML ответа НРД в карточке заявки (для пересылки в ТП)
- тестовый пакет роботу приведён к эталону m2m_robot_samples (CostInfo=Yes,
  4 бумаги, IsolationStatus, DocumentSeries=сценарий); override паспорта
- редирект из теста сразу в карточку заявки

Мастер установки ключа Валидаты на флешку (admin/setup/keywizard):
- пошаговый: загрузка .7z+пароль → выбор флешки → запись → справочник
  сертификатов (CRL) → перезапуск+проверка ИШ → готово
- привилегированный воркер (bj-keymedia) в host-namespace через файл-обмен,
  bj-server остаётся в песочнице
- сохранение структуры профиля архива (spr<N>), перечисление съёмных USB

Прочее:
- пакет-доказательство для ТП НРД + форма регистрации участника M2M
- эталонные образцы робота (DOC/m2m_robot_samples)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

internal/m2mcore/deal.go

@@ -34,6 +34,7 @@ type Deal struct {
 	SignedClaim []byte
 	Request     *m2m.M2MTransferRequest
 	Response    *m2m.M2MTransferResponse
+	RawResponse []byte // точные байты ответа МОСТ от НРД (для пересылки в ТП)
 	Decision    *m2m.M2MTransferDecision
 	CreatedAt   time.Time
 	UpdatedAt   time.Time
@@ -169,6 +170,71 @@ func (d *Deal) ReceiveDecision(_ context.Context, decision *m2m.M2MTransferDecis
 	return nil
 }
 
+// ReceiveServiceResponse принимает M2MTransferResponse — ответ сервиса МОСТ
+// (НРД), а не контрагента. Это сервисный уровень: подтверждение приёма в
+// обработку (StatusCode=INFO) либо отказ сервиса (StatusCode=ERROR, код
+// M2Mxx — напр. M2M14 «код отправителя отсутствует в справочнике M2M»).
+//
+//   - INFO  — заявка принята МОСТ в обработку; состояние не меняем, ждём
+//     M2MTransferDecision контрагента. Сохраняем ответ для отображения.
+//   - ERROR — сервис отклонил заявку до контрагента; Decision уже не придёт,
+//     переводим сделку в Rejected. Сохраняем ответ, чтобы в карточке был
+//     виден код и текст отказа НРД.
+// raw — точные байты ответа (unpacked doc.xml от НРД); сохраняются как есть
+// для дословной пересылки в техподдержку НРД. Может быть nil (mock-режим).
+func (d *Deal) ReceiveServiceResponse(_ context.Context, resp *m2m.M2MTransferResponse, raw []byte) error {
+	d.mu.Lock()
+	defer d.mu.Unlock()
+	if resp == nil {
+		return fmt.Errorf("m2mcore: ReceiveServiceResponse: resp=nil")
+	}
+	d.Response = resp
+	if len(raw) > 0 {
+		d.RawResponse = raw
+	}
+	d.UpdatedAt = time.Now().UTC()
+
+	if resp.StatusCode != m2m.StatusError {
+		// INFO/приём в обработку — фиксируем, но не двигаем FSM.
+		d.recordEvent("service_ack", responsePayload(resp), "nsd")
+		return nil
+	}
+
+	// ERROR — отказ сервиса МОСТ. Если сделка уже в терминальном состоянии,
+	// повторный ответ игнорируем (идемпотентность поллера).
+	if IsTerminal(d.State) {
+		d.recordEvent("service_error_ignored_terminal", responsePayload(resp), "nsd")
+		return nil
+	}
+	if err := d.shiftTo(StateRejected, "service_error:"+firstCode(resp)); err != nil {
+		return err
+	}
+	d.recordEvent("service_error", responsePayload(resp), "nsd")
+	return nil
+}
+
+// responsePayload сворачивает M2MTransferResponse в компактную запись для
+// журнала событий (коды + тексты ответов сервиса).
+func responsePayload(resp *m2m.M2MTransferResponse) map[string]any {
+	codes := make([]map[string]string, 0, len(resp.Responses))
+	for _, r := range resp.Responses {
+		codes = append(codes, map[string]string{"code": r.Code, "text": r.Text})
+	}
+	return map[string]any{
+		"status": string(resp.StatusCode),
+		"guid":   string(resp.GUID),
+		"codes":  codes,
+	}
+}
+
+// firstCode возвращает первый код ответа (для reason перехода).
+func firstCode(resp *m2m.M2MTransferResponse) string {
+	if len(resp.Responses) > 0 {
+		return resp.Responses[0].Code
+	}
+	return "unknown"
+}
+
 // Timeout переводит сделку в TimedOut (когда не дождались Decision).
 func (d *Deal) Timeout(_ context.Context) error {
 	d.mu.Lock()

internal/m2mcore/enrich.go

@@ -19,6 +19,11 @@ type ClaimInput struct {
 	CostInfo                  m2m.CostInfo
 	IIAAgreement              *m2m.IIAAgreementDetails
 	Securities                []ClaimSecurityInput
+	// InvestorDocument, если задан, переопределяет документ инвестора из
+	// анкеты Fansy. Нужен для тестов с роботом НРД, где код сценария
+	// кодируется в серии ДУЛ (DocumentSeries). Для обычных заявок — nil
+	// (личность берётся из анкеты-источника).
+	InvestorDocument *ClientDocument
 }
 
 // ClaimSecurityInput — одна ЦБ в заявке.
@@ -76,6 +81,11 @@ func EnrichRequest(
 	if err != nil {
 		return nil, fmt.Errorf("m2mcore: GetClientByID: %w", err)
 	}
+	// Переопределение документа инвестора (тест с роботом: серия ДУЛ = код
+	// сценария). Меняем только удостоверение личности, ФИО оставляем из анкеты.
+	if claim.InvestorDocument != nil {
+		client.Document = *claim.InvestorDocument
+	}
 	accounts, err := store.GetDepoAccounts(ctx, claim.InvestorClientID, claim.TransferringDepositoryINN)
 	if err != nil {
 		return nil, fmt.Errorf("m2mcore: GetDepoAccounts: %w", err)

internal/m2mcore/enrich_test.go

@@ -105,6 +105,57 @@ func TestEnrichRequestHappyPath(t *testing.T) {
 	}
 }
 
+// TestEnrichRequestDocumentOverride — для теста с роботом НРД серия ДУЛ
+// кодирует сценарий. Override должен заместить паспорт из анкеты, оставив ФИО.
+func TestEnrichRequestDocumentOverride(t *testing.T) {
+	store := &fakeStore{
+		client: &m2mcore.Client{
+			ID: "inv-1", LastName: "Иванов", FirstName: "Иван", MiddleName: "Иванович",
+			Document: m2mcore.ClientDocument{
+				DocumentType: m2m.DocCode21, Series: "4513", Number: "654322",
+			},
+		},
+		accounts: []m2mcore.DepoAccount{{
+			ID: "acc-1", ClientID: "inv-1", DeponentCode: "DP789456",
+			AccountID: m2m.AccountID("31MC0021900000F01"), SectionID: "P001",
+			DepositoryINN: m2m.OrganizationINN("7702070139"),
+		}},
+	}
+	whole := uint64(1)
+	isin := m2m.ISIN("RU0007661625")
+	claim := m2mcore.ClaimInput{
+		InvestorClientID:          "inv-1",
+		TransferringDepositoryINN: m2m.OrganizationINN("0702345678"),
+		ReceivingDepositoryINN:    m2m.OrganizationINN("0710987654"),
+		CostInfo:                  m2m.CostInfo{No: &m2m.CostInfoNo{}},
+		Securities: []m2mcore.ClaimSecurityInput{{
+			SecurityCode: m2m.SecurityCode("RU0007661625"),
+			Details:      m2m.SecurityDetails{ISIN: &isin}, Quantity: m2m.Quantity{Whole: &whole},
+		}},
+		// Сценарий робота 2001 в серии ДУЛ.
+		InvestorDocument: &m2mcore.ClientDocument{
+			DocumentType: m2m.DocCode21, Series: "2001", Number: "111111",
+		},
+	}
+	req, err := m2mcore.EnrichRequest(context.Background(), store, claim, m2mcore.SenderReceiver{
+		SenderCode: m2m.DeponentCode("MC0413600000"), ReceiverCode: m2m.DeponentCode("MC0012500000"),
+	})
+	if err != nil {
+		t.Fatalf("EnrichRequest: %v", err)
+	}
+	doc := req.Data.InvestorInformation.IdentityDocument
+	if doc.DocumentSeries == nil || string(*doc.DocumentSeries) != "2001" {
+		t.Errorf("DocumentSeries = %v, ожидалось 2001 (override сценария)", doc.DocumentSeries)
+	}
+	if string(doc.DocumentNumber) != "111111" {
+		t.Errorf("DocumentNumber = %q, ожидалось 111111", doc.DocumentNumber)
+	}
+	// ФИО берётся из анкеты, не из override.
+	if req.Data.InvestorInformation.LastName != "Иванов" {
+		t.Errorf("ФИО должно остаться из анкеты, получено %q", req.Data.InvestorInformation.LastName)
+	}
+}
+
 func TestEnrichRequestNoAccounts(t *testing.T) {
 	store := &fakeStore{
 		client:   &m2mcore.Client{LastName: "X", FirstName: "Y", Document: m2mcore.ClientDocument{DocumentType: m2m.DocCode21, Number: "1"}},

internal/m2mcore/pgrepo.go

@@ -54,7 +54,7 @@ func (r *PostgresRepository) Close() {
 // guid уже есть, возвращает её (без модификации).
 func (r *PostgresRepository) Create(ctx context.Context, deal *Deal) (*Deal, error) {
 	reqXML, _ := marshalXMLIfPresent(deal.Request)
-	respXML, _ := marshalXMLIfPresent(deal.Response)
+	respXML := responseBytes(deal)
 	decisionXML, _ := marshalXMLIfPresent(deal.Decision)
 	stages, err := json.Marshal(deal.Stages)
 	if err != nil {
@@ -97,7 +97,7 @@ func (r *PostgresRepository) GetByID(ctx context.Context, id string) (*Deal, err
 // Update сохраняет полное состояние сделки (для простоты — без diff).
 func (r *PostgresRepository) Update(ctx context.Context, deal *Deal) error {
 	reqXML, _ := marshalXMLIfPresent(deal.Request)
-	respXML, _ := marshalXMLIfPresent(deal.Response)
+	respXML := responseBytes(deal)
 	decisionXML, _ := marshalXMLIfPresent(deal.Decision)
 	stages, err := json.Marshal(deal.Stages)
 	if err != nil {
@@ -229,6 +229,8 @@ func scanRow(r rowScanner) (*Deal, error) {
 		}
 	}
 	if len(respXML) > 0 {
+		// Сохраняем точные байты для дословного показа/пересылки в ТП НРД.
+		d.RawResponse = respXML
 		var v m2m.M2MTransferResponse
 		if err := nsdxml.Unmarshal(respXML, &v); err == nil {
 			d.Response = &v
@@ -254,6 +256,18 @@ func dealsSelectSQL() string {
            FROM m2m_core.deals`
 }
 
+// responseBytes возвращает байты ответа МОСТ для записи в response_xml:
+// точные байты от НРД (RawResponse), если они есть, иначе пере-сериализация
+// разобранной структуры. Точные байты предпочтительны — их можно дословно
+// переслать в техподдержку НРД.
+func responseBytes(deal *Deal) []byte {
+	if len(deal.RawResponse) > 0 {
+		return deal.RawResponse
+	}
+	b, _ := marshalXMLIfPresent(deal.Response)
+	return b
+}
+
 // marshalXMLIfPresent сериализует *T в windows-1251 XML (или возвращает nil).
 func marshalXMLIfPresent(v any) ([]byte, error) {
 	if v == nil {

internal/m2mcore/service_response_test.go

@@ -0,0 +1,85 @@
+package m2mcore_test
+
+import (
+	"context"
+	"testing"
+
+	"git.zetit.ru/zuevav/Bridge-and-Join-s/internal/m2m"
+	"git.zetit.ru/zuevav/Bridge-and-Join-s/internal/m2mcore"
+)
+
+// makeResponse строит M2MTransferResponse сервиса МОСТ с заданным статусом и
+// одним кодом/текстом (как в реальном ответе НРД, напр. M2M14).
+func makeResponse(guid m2m.UUID, status m2m.StatusCode, code, text string) *m2m.M2MTransferResponse {
+	return &m2m.M2MTransferResponse{
+		GUID:       guid,
+		StatusCode: status,
+		Responses:  []m2m.Response{{Code: code, Text: text}},
+	}
+}
+
+// TestReceiveServiceResponseError — ERROR (отказ сервиса, напр. M2M14)
+// переводит сделку в Rejected и сохраняет ответ для отображения в карточке.
+func TestReceiveServiceResponseError(t *testing.T) {
+	d := newTestDeal(t)
+	resp := makeResponse(d.GUID, m2m.StatusError, "M2M14",
+		"Код ЭДО НРД отправителя отсутствует в справочнике участников M2M")
+
+	if err := d.ReceiveServiceResponse(context.Background(), resp, nil); err != nil {
+		t.Fatalf("ReceiveServiceResponse(ERROR): %v", err)
+	}
+	if d.State != m2mcore.StateRejected {
+		t.Errorf("состояние %s, ожидалось %s", d.State, m2mcore.StateRejected)
+	}
+	if d.Response == nil || d.Response.StatusCode != m2m.StatusError {
+		t.Errorf("ответ НРД не сохранён в сделке: %+v", d.Response)
+	}
+	if len(d.Response.Responses) == 0 || d.Response.Responses[0].Code != "M2M14" {
+		t.Errorf("код ответа не сохранён: %+v", d.Response)
+	}
+}
+
+// TestReceiveServiceResponseInfo — INFO (принято в обработку) сохраняет ответ,
+// но НЕ меняет состояние: ждём M2MTransferDecision контрагента.
+func TestReceiveServiceResponseInfo(t *testing.T) {
+	d := newTestDeal(t)
+	before := d.State
+	resp := makeResponse(d.GUID, m2m.StatusInfo, "01", "Запрос на перевод принят в обработку")
+
+	if err := d.ReceiveServiceResponse(context.Background(), resp, nil); err != nil {
+		t.Fatalf("ReceiveServiceResponse(INFO): %v", err)
+	}
+	if d.State != before {
+		t.Errorf("состояние изменилось на %s, ожидалось без изменений (%s)", d.State, before)
+	}
+	if d.Response == nil || d.Response.StatusCode != m2m.StatusInfo {
+		t.Errorf("ответ НРД не сохранён: %+v", d.Response)
+	}
+}
+
+// TestReceiveServiceResponseTerminalIdempotent — повторный ERROR на уже
+// терминальной (Rejected) сделке не валит FSM, ответ обновляется.
+func TestReceiveServiceResponseTerminalIdempotent(t *testing.T) {
+	d := newTestDeal(t)
+	first := makeResponse(d.GUID, m2m.StatusError, "M2M14", "первый отказ")
+	if err := d.ReceiveServiceResponse(context.Background(), first, nil); err != nil {
+		t.Fatalf("первый ERROR: %v", err)
+	}
+	// Поллер ИШ может прислать тот же пакет повторно — не должно паниковать
+	// и не должно ломать состояние недопустимым переходом Rejected→Rejected.
+	second := makeResponse(d.GUID, m2m.StatusError, "M2M14", "повторный отказ")
+	if err := d.ReceiveServiceResponse(context.Background(), second, nil); err != nil {
+		t.Fatalf("повторный ERROR на терминальной сделке: %v", err)
+	}
+	if d.State != m2mcore.StateRejected {
+		t.Errorf("состояние %s, ожидалось %s", d.State, m2mcore.StateRejected)
+	}
+}
+
+// TestReceiveServiceResponseNil — защита от nil.
+func TestReceiveServiceResponseNil(t *testing.T) {
+	d := newTestDeal(t)
+	if err := d.ReceiveServiceResponse(context.Background(), nil, nil); err == nil {
+		t.Error("ожидалась ошибка на nil-ответе")
+	}
+}