Evite que o wpa_supplicant use protocolos de criptografia WPA-TKIP ou GCMP

Após ler sobre o ataque do KRACK contra WPA2 , vejo isto:

If the victim uses either the WPA-TKIP or GCMP encryption protocol, instead of AES-CCMP, the impact is especially catastrophic. Against these encryption protocols, nonce reuse enables an adversary to not only decrypt, but also to forge and inject packets.

Só de olhar para a página de manual wpa_supplicant , acho que posso forçar o uso de apenas CCMP por adicionando isto a wpa_supplicant.conf :

network = {
    ssid="[REDACTED]"
    pairwise=CCMP
    group=CCMP
}

No entanto, quando eu reiniciar a rede, esta mensagem de log de /var/log/messages parece indicar que o TKIP ainda está sendo usado:

Oct 20 17:27:51 localhost wpa_supplicant[1055]: wlp0s18f2u3: WPA: Key negotiation completed with fc:51:a4:4a:43:d3 [PTK=CCMP GTK=TKIP]

Um rápido ps -eaf | grep wpa mostra que wpa_supplicant está usando o arquivo conf editado, e as mensagens wpa_supplicant log mostram que ele está se conectando ao mesmo SSID que no arquivo conf.

Então, estou fazendo algo errado ou o que eu quero é impossível?

EDIT : Estou usando o Fedora 26 com o NetworkManager.