При использовании компьютера все обрабатываемые данные временно записываются в RAM, оперативную память. Это касается текстов, сохранённых файлов, паролей, ключей шифрования и т.д. Чем позже действие, тем больше вероятность того, что данные всё ещё в оперативной памяти.

After a computer is powered off, the data in RAM disappears rapidly, but it can remain in RAM up to several minutes after shutdown. An attacker having access to a computer before the data in RAM disappears completely could recover important data from your session.

Это может быть сделано методом холодной перезагрузки. Для предотвращения такой атаки данные в оперативной памяти при закрытии Tails перезаписывается случайными данными. Все следы вашей сессии на этом компьютере будут стёрты.

Злоумышленник, у которого есть физический доступ к компьютеру во время работы Tails, также может восстановить данные из оперативной памяти. Чтобы этого избежать, почитайте, как быстро завершить работу Tails.

As far as we know, cold boot attacks are not a common procedure for data recovery.

In a research report from 2011, Defense Research and Development Canada concluded that cold boot attacks can be useful in some cases to acquire data in memory but are not a panacea and have many drawbacks dictated by the laws of physics, which cannot be overcome by the technique. The authors recommend to only use cold boot attacks as a last resort when all other avenues have been exhausted.