Um pouco dos dois. Com a chave pré-compartilhada, Alice e Bob conhecem mesma frase secreta usada pelo WPA. Quando eles se conectam ao acesso ponto eles vão cada negociar uma chave "temporal" separada que é privada e essa chave será usada para criptografar o tráfego. Isso significa Alice não pode descriptografar o tráfego do Bobs (a menos que ela hackeie o sistema alguns outros meios) e vice-versa.
No entanto, se Alice puder ouvir quando Bob se conectar pela primeira vez, ela pode utilizar seu conhecimento da chave compartilhada (a frase secreta) para descobrir qual a chave temporal Bob tem e ela pode então descriptografar sua tráfego.
Wireshark, por exemplo, pode fazer isso descriptografar automaticamente desde que tenha acesso aos primeiros 4 pacotes de dados do conexão.
Observe que isso ocorre por design, a chave temporal não está lá para fornecer privacidade entre estações conectadas ao mesmo ESS.