As trocas de EAPOL também são usadas para renovar as chaves temporais. As novas chaves são instaladas no suplicante depois de enviar 4/4 e são instaladas no autenticador quando ele recebe 4/4 [1]. Se o Wireshark tiver que lidar corretamente com recodificadores, ele deve usar as chaves somente depois de ler o pacote 4/4 no quadro, porque os pacotes ainda podem estar fluindo durante a recriação (mesmo no caso em que não devem, por causa do buffer)
Para o primeiro 4WHS, não é possível esperar por 4/4, mas é perfeitamente compreensível que eles tenham apenas preguiça de implementá-lo. 3/4 ainda é necessário, pois contém chaves de grupo (mesmo que você não esteja interessado nelas, mas saiba que não verá solicitações ARP do AP ou de um cliente para o qual você não tem parte de suas 4WHS) e chaves de gerenciamento. Você pode pular 3/4 também, mas não tem confirmação de que a troca foi bem-sucedida, porque 3/4 é usado para verificar se o Autenticador conhece o PMK.
[1] Observe que, com o esquema atual, se a mensagem 4/4 for perdida, o suplicante começou a usar a nova chave, e o autenticador ainda usa a chave antiga e reenvia 3/4 criptografado com a chave antiga não vai ajudar. Esse problema, entre muitos outros com o WPA2, é abordado no padrão 802.11 2012 mais recente, mantendo duas chaves em paralelo.