Durante l'utilizzo di un computer tutti i dati manipolati vengono scritti temporaneamente nella RAM: testi, file salvati ma anche password e chiavi di crittografia. Più recente è l'attività e più è possibile che i dati siano nella RAM.

After a computer is powered off, the data in RAM disappears rapidly, but it can remain in RAM up to several minutes after shutdown. An attacker having access to a computer before the data in RAM disappears completely could recover important data from your session.

Ciò può essere possibile utilizzando una tecnica chiamata attacchi a freddo all'avvio ('cold boot') . Per prevenire questo attacco, i dati nella RAM sono sovrascritti da dati casuali quando si spegne Tails. Questo cancella tutte le tracce dalle vostre sessioni su questo computer.

Inoltre, un utente malitenzionato con accesso fisico al computer mentre Tails è in esecuzione potrebbe recuperare pure i dati dalla RAM. Per evitare ciò, leggi i differenti metodi per lo spegnimento di Tails rapido.

As far as we know, cold boot attacks are not a common procedure for data recovery.

In a research report from 2011, Defense Research and Development Canada concluded that cold boot attacks can be useful in some cases to acquire data in memory but are not a panacea and have many drawbacks dictated by the laws of physics, which cannot be overcome by the technique. The authors recommend to only use cold boot attacks as a last resort when all other avenues have been exhausted.