¿Por qué entonces el cliente necesita encriptar la transmisión usando el GTK?
No lo hace. Dado que el AP emite, no el cliente, el cliente no usa el GTK para encriptar el marco. El AP lo hace.
¿Por qué el cliente no puede simplemente encriptar la trama de difusión usando su PTK, y el AP la desencripta, ...
Exactamente. Esto es lo que pasa.
... el AP lo descifró, luego lo cifró usando el PTK de cada uno de los otros clientes antes de enviárselo?
Aquí es donde sucede la magia. Según el estándar, se envía una trama de difusión una vez desde el AP a todos los clientes asociados. Si el AP utilizara el PTK de un cliente, ninguno de los otros clientes podría procesar el marco. Entonces, en cambio, el AP utiliza GTK para las transmisiones y cada cliente ha recibido el GTK para descifrar dichos marcos.
Ahora, si se lleva a cabo algún tipo de conversión de difusión a unidifusión en la infraestructura inalámbrica, el AP utilizaría el PTK para cada cliente correspondiente en lugar del GTK.