Ao usar um computador, todos os dados manipulados são escritos temporariamente na memória RAM: textos, arquivos salvos, e também senhas e chaves criptográficas. Quanto mais recente a atividade, maior é a probabilidade de que estes dados estejam na RAM.

Depois que um computador foi desligado, os dados na RAM desaparecem rapidamente, mas podem continuar na RAM até alguns minutos depois do desligamento. Um atacante que tenha acesso ao computador antes de que estes dados desapareçam completamente pode recuperar dados importantes de sua sessão.

Isto pode ser feito usando uma técnica chamada ataque cold boot . Para evitar este ataque os dados na RAM são substituídos por dados aleatórios quando o Tails está sendo desligado. Isto apaga todos os traços da sua sessão naquele computador.

Além disso, um atacante que tenha acesso físico ao computador enquanto Tails está sendo executado também pode recuperar dados da RAM. Para evitar isto, aprenda diferentes formas de desligar o Tails rapidamente.

As far as we know, cold boot attacks are not a common procedure for data recovery, but it might still be good to be prepared. If no cold boot attack happens directly after shutdown, the RAM empties itself in minutes, and all data disappears.