Veilige publieke hotspot onmogelijk?

Ik ben aan het kijken of het mogelijk is om een hotspot op te zetten die zowel makkelijk in gebruik is als veilig. Het lijkt er echter op dat veilig kan, makkelijk kan maar die twee combineren is een heel ander verhaal.

Makkelijk is een hotspot instellen met of zonder captive portal en geen WPA.

Veilig is een hotspot instellen met 802.11x en zorgen dat de bezoekers een gebruikersnaam/wachtwoord hebben. Dat is op zich nog te doen, maar het lijkt erop dat de bezoekers hiervoor eerste een certificaat moeten installeren. Niet bepaald gebruiksvriendelijk dus.

Zie ik iets over het hoofd? In theorie zou het mogelijk moeten zijn om per gebruiker een WPA2-AES pre-shared-key te genereren waarna de hotspot bij de eerste keer dat een nieuwe client verbinding maakt uitzoekt welke PSK er precies is gebruikt. Zolang het niet gaat over duizenden clients die maandenlang verbinding moeten houden zou dat (in theorie) mogelijk moeten zijn?

De info die ik tot nu toe heb gevonden gebruikt altijd een client certificaat bij het gebruik van WPA-enterprise.

Een radius server die altijd 'ok, prima' roept zou best een oplossing zijn.

Het doel is het opzetten van een publieke hotspot en voorkomen dat gebruikers van de hotspot elkaar af kunnen luisteren. Met een open accesspoint is dat heel eenvoudig, WPA(2) helpt niet als iedereen het wachtwoord kent en client isolation is een lapmiddel dat vooral schijnveiligheid lijkt te geven. Budget is bij voorkeur 0 Liever een paar uur prutsen met een Linux machine dan honderden of duizenden euro's uitgeven aan een enterprise oplossing in dit geval.

Maar WPA-enterprise zou het dus moeten doen zonder het installeren van certificaten? De gebruiker maakt dan verbinding met het netwerk, wordt gevraagd om user/pass en daarna is de verbinding tussen gebruiker en AP zodanig versleuteld dat derden dit niet kunnen ontcijferen?