fix(health): PII 加密安全审计修复 — 2 Critical + 6 Medium + 4 Low

审计发现 55 检查点，46 PASS / 7 WARN / 2 FAIL，修复内容:

Critical:
- C1: 密钥轮换端点现在持久化新 DEK 到 tenant_crypto_keys 表
- C2: CachedDek 实现 Drop trait，释放时清零密钥材料

Medium:
- M1: 密文格式添加版本前缀 0x01，向后兼容旧格式
- M2: HMAC 索引使用独立子密钥，与加密 KEK 分离
- M4: 脱敏函数使用 chars() 迭代器，UTF-8 安全
- M5-M6: 医生执业证号详情响应脱敏 (mask_license_number)

Low:
- L1: dek_manager 改为 pub(crate)，暴露 invalidate_dek() 方法
- L3: 合并 patient 列表搜索中冗余的重复 HMAC 计算
- L4: update_family_member/update_doctor 更新时设置 key_version

crates/erp-core/src/crypto/key_manager.rs

@@ -7,7 +7,7 @@ use crate::error::{AppError, AppResult};
 
 use super::engine;
 
-/// DEK 缓存条目
+/// DEK 缓存条目 — Drop 时清零密钥材料
 #[derive(Clone)]
 struct CachedDek {
     dek: [u8; 32],
@@ -15,6 +15,12 @@ struct CachedDek {
     loaded_at: Instant,
 }
 
+impl Drop for CachedDek {
+    fn drop(&mut self) {
+        self.dek.fill(0);
+    }
+}
+
 /// DEK 缓存管理 — 每租户独立 DEK，LRU + TTL
 #[derive(Clone)]
 pub struct DekManager {